https://www.opennet.ru/openforum/vsluhforumID1/64513.html Привет!<br>Я думаю многоие с этим сталкивались - идет масса логинов к порту SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но это ведь грузит сервер пустым траффиком!<br>Как можно блокировать подобные коннекты? скажем через пять неудачных - на час блокируется этот IP. Это можно сделать силами самого SSH?<br><br>Спасибо!<br>HAN https://www.opennet.ru/openforum/vsluhforumID1/64513.html#10 Wed, 09 Mar 2011 18:25:23 GMT http://anton-lebedev.blogspot.com/2011/03/fail2ban.html<br> https://www.opennet.ru/openforum/vsluhforumID1/64513.html#9 Fri, 03 Mar 2006 10:45:39 GMT Надо опеннет читать ;)<br><br>Отсюда:<br>http://www.opennet.ru/opennews/art.shtml?num=6945<br><br>http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts https://www.opennet.ru/openforum/vsluhforumID1/64513.html#8 Fri, 03 Mar 2006 09:12:23 GMT я сделал так:<br>в sshd.conf записал:<br>SysLogFacility AUTHPRIV<br><br>#!/usr/bin/perl<br><br>$log="Subject: IP banned\n";<br>%ban;<br><br>open(F, '&lt; /var/log/secure');<br>while(&lt;F&gt;){<br> $str = $_; <br> $str=~/Failed password for .+ (.+) port/;<br> if(!$ban{$1}){ $ban{$1}=1; } else { $ban{$1}++; }<br>}<br>close(F);<br><br><br>open (BL, '&gt;&gt;/etc/rc.d/ban.ip');<br>foreach $key (keys %ban){<br> if($ban{$key} &gt; 10 && $key){<br>print BL $key,"\n";<br>`iptables -I tcp_new -p tcp -s $key -j DROP`;<br>$log.="$key\n";<br>smtp_send('postmaster@inteh.com.ua', $log);<br> }<br>}<br>close(BL);<br><br><br>open(F, '&gt; /var/log/secure');<br>print F "0";<br>close(F); <br><br><br><br>sub smtp_send{<br>local $m_addr=shift;<br>local $m_body=shift;<br>my $ret;<br>my $p;<br><br>use IO::Socket;<br>my $remote = IO::Socket::INET-&gt;new(PeerAddr =&gt; '212.40.43.98:25')<br> or die "Can't create socket";<br>$p.=&lt;$remote&gt;;<br>print $remote "helo inteh\n";<br>$p.=&lt;$remote&gt;;<br>print $remote "mail from: &lt;krot-s\@mail.ru&gt;\n";<br>$p.=&lt;$remote&gt;;<br>print $remote "rcpt to: &lt;$m_addr&gt;\n";<br>$p=&lt;$remote&gt;;<br>if($p=~/250/i https://www.opennet.ru/openforum/vsluhforumID1/64513.html#7 Fri, 03 Mar 2006 07:26:07 GMT &gt;Привет! <br>&gt;Я думаю многоие с этим сталкивались - идет масса логинов к порту <br>&gt;SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас <br>&gt;конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но <br>&gt;это ведь грузит сервер пустым траффиком! <br>&gt;Как можно блокировать подобные коннекты? скажем через пять неудачных - на час <br>&gt;блокируется этот IP. Это можно сделать силами самого SSH? <br>&gt;<br>&gt;Спасибо! <br>&gt;HAN <br><br><br>повесь на другой порт ссх демон.<br>пропиши AllowUsers в sshd_config<br>количество коннектов уменьшиться на половину.<br> https://www.opennet.ru/openforum/vsluhforumID1/64513.html#6 Fri, 03 Mar 2006 02:41:29 GMT &gt;Привет! <br>&gt;Я думаю многоие с этим сталкивались - идет масса логинов к порту <br>&gt;SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас <br>&gt;конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но <br>&gt;это ведь грузит сервер пустым траффиком! <br>&gt;Как можно блокировать подобные коннекты? скажем через пять неудачных - на час <br>&gt;блокируется этот IP. Это можно сделать силами самого SSH? <br>&gt;<br>&gt;Спасибо! <br>&gt;HAN <br>1) Повешать сашу на другой (желательно не популярный порт).<br>2) Либо поставить SNORT, либо в iptables есть модуль (Patch-o-matic) ограничивающий подключения на данный порт.<br>3) Использовать оба вышеприведенных метода.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/64513.html#5 Thu, 02 Mar 2006 20:35:38 GMT &gt;Я думаю многоие с этим сталкивались - идет масса логинов к порту <br>&gt;SSH с простым "подбором" пароля/логина (по уже готовым спискам).<br>&gt;Как можно блокировать подобные коннекты? скажем через пять неудачных - на час <br>&gt;блокируется этот IP. Это можно сделать силами самого SSH? <br><br>Силами самого sshd - нет.<br>Силами iptables - легко:<br>http://www.opennet.ru/tips/sml/41.shtml<br>http://www.swisspowered.net/wiki/index.php/Networking:Brute_force_SSH<br> https://www.opennet.ru/openforum/vsluhforumID1/64513.html#4 Thu, 02 Mar 2006 19:05:01 GMT &gt;&gt;после добавления этого правила никто ддостучатся на 22 порт уже не сможет <br>&gt;&gt;<br>&gt;&gt;а если все таки нужно юзать SSH из вне, то дабавь правило <br>&gt;&gt;разришающее конект с конкретного (твоего) хоста. <br>&gt;<br>&gt;в том то и дело как раз снаружи и надо и причем <br>&gt;сам могу с разных IP заходить и несколько человек тоже <br><br>Несколько примеров на эту тему....<br><br>http://gennadi.dyn.ee/27.html https://www.opennet.ru/openforum/vsluhforumID1/64513.html#3 Thu, 02 Mar 2006 16:49:01 GMT &gt;после добавления этого правила никто ддостучатся на 22 порт уже не сможет <br>&gt;<br>&gt;а если все таки нужно юзать SSH из вне, то дабавь правило <br>&gt;разришающее конект с конкретного (твоего) хоста. <br><br>в том то и дело как раз снаружи и надо и причем сам могу с разных IP заходить и несколько человек тоже<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/64513.html#2 Thu, 02 Mar 2006 15:16:35 GMT У меня FreeBSD 5.4<br>xl0 - внешний интерфейс<br><br>Я от брутворса избавился так:<br><br>rc.firewall<br><br>{fwcmd} add 1 reject all from any to me dst-port 22 in via xl0<br><br><br>после добавления этого правила никто ддостучатся на 22 порт уже не сможет<br>а если все таки нужно юзать SSH из вне, то дабавь правило разришающее конект с конкретного (твоего) хоста.<br><br>