https://slinkov.ru/openforum/vsluhforumID3/19989.html Программа bruteblock (http://samm.kiev.ua/bruteblock/) позволяет блокировать попытки подбора паролей к сервисам FreeBSD. <br><br><br>Программа анализирует журнал запущенных служб и заносит<br>ip злоумышленников в таблицу firewall ipfw2. Через некоторое,<br>определённое пользователем, время программа удаляет их из этой таблицы.<br><br><br>Использование регулярных выражений позволяет использовать утилиту для<br>практически любой службы. Утилита написана на C и не использует вызова<br>внешних программ, работая с таблицами IPFW2 через RAW SOCKETS API.<br><br>URL: http://samm.kiev.ua/bruteblock/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=7984<br> https://slinkov.ru/openforum/vsluhforumID3/19989.html#39 Mon, 25 Oct 2010 19:08:51 GMT поставил из портов на 8.1 <br>отличная штука. автору - спасибо<br> https://slinkov.ru/openforum/vsluhforumID3/19989.html#38 Mon, 21 Jul 2008 11:00:56 GMT mmisteras, у меня была такая же ситуация, обратился к автору, он указал направление поисков проблемы. В итоге всё просто - было два одинаковых селектора в syslog.conf с разными action'ами :)<br>(см. забавы ради патч http://lists.freebsd.org/pipermail/freebsd-ports-bugs/2006-October/103110.html)<br><br>Всё заработало, как обещано, но возник такой вопрос: если subj ищет сообщения определённого вида, то бишь соответствующие регулярным выражениям в конфиге, куда деваются остальные? Те, что писались раньше в auth.log теперь просто отбрасываются что ли?..<br> https://slinkov.ru/openforum/vsluhforumID3/19989.html#37 Tue, 21 Aug 2007 05:32:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Использование регулярных выражений позволяет использовать утилиту для <br>&gt;&gt;практически любой службы. Утилита написана на C и не использует вызова <br>&gt;&gt;внешних программ, работая с таблицами IPFW2 через RAW SOCKETS API. <br>&gt;&gt;<br>&gt;&gt;URL: http://samm.kiev.ua/bruteblock/ <br>&gt;&gt;Новость: http://www.opennet.ru/opennews/art.shtml?num=7984 <br>&gt;<br>&gt;поставил на freebsd 6.2 для proftpd - не пашет (ставил из портов) <br>&gt;<br>&gt;конфиги не правил, добавил правило в фаер. table\(1\) ниразу не заполнилась <br><br>Поздравляю. Программа отлично работет на 6.2, как и на других версиях BSD<br> https://slinkov.ru/openforum/vsluhforumID3/19989.html#36 Mon, 20 Aug 2007 09:19:58 GMT &gt;[оверквотинг удален]<br>&gt;ip злоумышленников в таблицу firewall ipfw2. Через некоторое, <br>&gt;определённое пользователем, время программа удаляет их из этой таблицы. <br>&gt;<br>&gt;<br>&gt;Использование регулярных выражений позволяет использовать утилиту для <br>&gt;практически любой службы. Утилита написана на C и не использует вызова <br>&gt;внешних программ, работая с таблицами IPFW2 через RAW SOCKETS API. <br>&gt;<br>&gt;URL: http://samm.kiev.ua/bruteblock/ <br>&gt;Новость: http://www.opennet.ru/opennews/art.shtml?num=7984 <br><br>поставил на freebsd 6.2 для proftpd - не пашет (ставил из портов)<br>конфиги не правил, добавил правило в фаер. table\(1\) ниразу не заполнилась<br> https://slinkov.ru/openforum/vsluhforumID3/19989.html#35 Tue, 01 Aug 2006 14:11:02 GMT &gt;Я не вижу каким образом правило с ipfw исчезнет через n минут.<br>-t ;-) <br>&gt;И кроме того, я считаю, что таблицы в данном случае много <br>&gt;уместнее. Дополнительно я хотел бы подчеркнуть, что я совершенно не умаляю <br>&gt;достоинст вышеописанной тулзы, просто я считаю, что у них несколько разная <br>&gt;идеология, и как следствие - область применения.<br>Согласен.<br><br>PAM есть в X/Open, что сейчас является POSIX 2004.<br><br>PS: мой первый ответ был по поводу pam_abl;-)<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID3/19989.html#34 Tue, 01 Aug 2006 12:37:44 GMT &gt;1) Быстрее, так как не требует дополнительного сканирования логов и работает на <br>&gt;уровне PAM <br>Оно не сканирует логи, а слушает pipe в syslogd<br>&gt;2) Как следствие лучше интегрируется в существующую модель безопасности, так как ничего <br>&gt;дополнительного не запускается <br>Оч. спорный вопрос. Требует наличия PAM авторизации в используемом сервисе.<br>&gt;3) Работает на любой POSIX-совместимой платформе, так как используются только стандартные <br>&gt;компоненты (ndbm для хранения таблиц и конфигов, например) <br>Конфиги хранятся в текстовом файле, таблицы - в ipfw. Работа на любой posix (кстати, я не уверен, что pam описан в posix) мне просто не требовалась<br>&gt;4) Lookup hostname'ов происходит на этапе конфигурирования и не требует дополнительных временных <br>&gt;задержек впоследствии. Далее поиск правила происходит очень быстро по хешу. <br>Простите, какой lookup? никакая работа с dns не производится. скорость поиска во внутренних структурах настолько быстр, что делать хеш я не вижу смысла. Как и не вижу проблем его сделать в слу https://slinkov.ru/openforum/vsluhforumID3/19989.html#33 Tue, 01 Aug 2006 11:59:04 GMT 1) Быстрее, так как не требует дополнительного сканирования логов и работает на уровне PAM<br>2) Как следствие лучше интегрируется в существующую модель безопасности, так как ничего дополнительного не запускается<br>3) Работает на любой POSIX-совместимой платформе, так как используются только стандартные<br>компоненты (ndbm для хранения таблиц и конфигов, например)<br>4) Lookup hostname'ов происходит на этапе конфигурирования и не требует дополнительных временных задержек впоследствии. Далее поиск правила происходит очень быстро по хешу.<br>5) Корректно работает с любыми адресами (не только IPv6 и Ipv4), правда маска поддерживается только для последних двух. Т.е. её можно использовать с любыми сетевыми протоколами (даже самопальными, если они корректно интегрированы в стек)<br>6) Может работать вообще без firewall и с firewall не поддерживающем таблиц<br>7) Работает с абсолютно любыми сервисами (т.к. через PAM).<br><br>---------------------------------------------------------------<br>Пример настройки для FreeBSD:<br> # pam_af_too https://slinkov.ru/openforum/vsluhforumID3/19989.html#32 Tue, 01 Aug 2006 09:05:45 GMT To Samm: На выходных займусь : )) <br>fail2ban медленнее. https://slinkov.ru/openforum/vsluhforumID3/19989.html#31 Tue, 01 Aug 2006 08:46:01 GMT Ок. На выходных займусь ; ))))