hyper ultra mega - зле.

Ако питате мен, номера е Ubuntu да е GW в скучая и с masq да дава нет към Win7.

l7-filter ! - да

пробвах с xtables-addons, правя следното ...

apt-get install xtables-addons-source
module-assistant prepare
module-assistant auto-install xtables-addons-source
depmod -a

-------------------------------------------------------------

root@gw:~# lsmod |grep x_tables
x_tables                8327  9 ipt_REJECT,xt_limit,ipt_MASQUERADE,xt_length,xt_state,xt_tcpudp,iptable_nat,xt_multiport,ip_tables

Version 1.26-2+2.6.32-35 of xtables-addons-modules-2.6.32-5-686 already installed..

-------------------------------------------------------------

точно това ipp2p липсва нещо при мен, я обясни ти как си го инсталирал, при теб с lsmod |grep ipp2p какво ти връща ?

П.С и при мен върви пача за ядрото.

в README, пише следното ...

Installation Instructions:
--------------------------
-modify the Makefile (change "IUSER = -I/usr/src/iptables/include" to wherever iptables.h is located)
-type "make"
-copy libipt_ipp2p.so to the iptables lib dir (/usr/lib/iptables/)
-insmod ipt_ipp2p.o / ipt_ipp2p.ko or copy to your kernel modules dir and do a "depmod -a"
-create your rules

поне 5 пъти го свалях от официалния сайт.

Аз имам инсталиран iptables (дойдоха още с инсталацията на самата OS), как да ги инсталирам тези sources които съм свалил с apt-get source iptables ?

Здравейте, реших да си огранича достъпа до торенти, прочетох в нет-а, че това не е особенно лека задача, но за сметка на това пък има ipp2p module. Та четох, пробвах и стигнах до тук..

OS: Debian Squeeze 6.0.2 ;

Правя следното :

apt-cache search linux-headers-$(uname -r)
---
linux-headers-2.6.32-5-686 - Header files for Linux 2.6.32-5-686

############################################
apt-get install linux-headers-2.6.32-5-686
apt-get install linux-source-2.6.32
apt-get source iptables
############################################

До тук всичко е ready! , след това преминавам на татък ...

ln -s /usr/src/linux-source-2.6.32 /usr/src/linux
--> свалям последната версия на ipp2p която за момента е # ipp2p-0.8.2

отварям Makefile и редактирам 67-ми ред, като подменям :
ld -shared -o libipt_ipp2p.so libipt_ipp2p.o

със следното :

$(CC) -shared -o libipt_ipp2p.so libipt_ipp2p.o
 
(първия път дори и не го подмених)

..след което пристъпвам към компилация на ipp2p "make" ...


root@gw:~/ipp2p-0.8.2# make
Makefile:36: You need to install iptables sources and maybe set IPTABLES_SRC
make -C /lib/modules/2.6.32-5-686/build SUBDIRS=/root/ipp2p-0.8.2 modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.32-5-686'
  CC [M]  /root/ipp2p-0.8.2/ipt_ipp2p.o
/root/ipp2p-0.8.2/ipt_ipp2p.c: In function Б─≤matchБ─≥:
/root/ipp2p-0.8.2/ipt_ipp2p.c:751: error: Б─≤const struct sk_buffБ─≥ has no member named Б─≤nhБ─≥
/root/ipp2p-0.8.2/ipt_ipp2p.c: At top level:
/root/ipp2p-0.8.2/ipt_ipp2p.c:871: warning: initialization from incompatible pointer type
/root/ipp2p-0.8.2/ipt_ipp2p.c:874: warning: initialization from incompatible pointer type
/root/ipp2p-0.8.2/ipt_ipp2p.c: In function Б─≤initБ─≥:
/root/ipp2p-0.8.2/ipt_ipp2p.c:883: error: implicit declaration of function Б─≤ipt_register_matchБ─≥
/root/ipp2p-0.8.2/ipt_ipp2p.c: In function Б─≤finiБ─≥:
/root/ipp2p-0.8.2/ipt_ipp2p.c:888: error: implicit declaration of function Б─≤ipt_unregister_matchБ─≥
make[4]: *** [/root/ipp2p-0.8.2/ipt_ipp2p.o] Error 1
make[3]: *** [_module_/root/ipp2p-0.8.2] Error 2
make[2]: *** [sub-make] Error 2
make[1]: *** [all] Error 2
make[1]: Leaving directory `/usr/src/linux-headers-2.6.32-5-686'
make: *** [ipt_ipp2p.ko] Error 2
-----------

Някой има ли представа къде бъркам ?

[парола от 50 символа]

Със сменен порт, парола от 50 символа, букви (големи и малки) + цифри + Permit root login no, живота е песен 

това не е сериозно с 50 буквено-цифрена парола .

с denyhosts мисля, че се справих ...може да пробвате на penchev.dyndns.org, тъкмо и аз ще проверя след това, дали работи ефективно.

Съжалявам, че флудя форума. Само да кажа, че се справих с проблема. Благодаря за коментарите. Всичко работи както трябва.

Сложих denyhosts настройх в denyhost.conf следното :

SECURE_LOG = /var/log/auth.log
HOSTS_DENY = /etc/hosts.evil
PURGE_DENY = 2w
BLOCK_SERVICE  = sshd
DENY_THRESHOLD_INVALID = 5
DENY_THRESHOLD_VALID = 10
DENY_THRESHOLD_ROOT = 1
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/run/denyhosts.pid

-----------------------------------------------------------------------------------------
стартирам :  /etc/init.d/denyhosts.dpkg-new start
                   Starting DenyHosts: denyhosts.
-----------------------------------------------------------------------------------------

след това правя следното :
                  cat /var/log/denyhost
----
2011-08-29 13:35:57,840 - denyhosts   : INFO     restricted: set([])
2011-08-29 13:35:57,841 - denyhosts   : INFO     Processing log file (/var/log/auth.log) from offset (1271495)
2011-08-29 13:35:57,845 - denyhosts   : INFO     launching DenyHosts daemon (version 2.6)...
2011-08-29 13:35:57,853 - denyhosts   : INFO     DenyHosts daemon is now running, pid: 21640
2011-08-29 13:35:57,853 - denyhosts   : INFO     send daemon process a TERM signal to terminate cleanly
2011-08-29 13:35:57,853 - denyhosts   : INFO       eg.  kill -TERM 21640
2011-08-29 13:35:57,856 - denyhosts   : INFO     monitoring log: /var/log/auth.log
2011-08-29 13:35:57,857 - denyhosts   : INFO     sync_time: 3600
2011-08-29 13:35:57,857 - denyhosts   : INFO     purging of /etc/hosts.evil is disabled
2011-08-29 13:35:57,857 - denyhosts   : INFO     denyhosts synchronization disabled

-----------
cat /etc/hosts.evil

# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 78.128.54.166
sshd: 78.128.54.166
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 31.193.132.8
sshd: 31.193.132.8
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 192.168.0.2
sshd: 192.168.0.2
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 213.128.83.34
sshd: 213.128.83.34
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 211.202.3.84
sshd: 211.202.3.84
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 173.0.58.162
sshd: 173.0.58.162
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 87.120.171.135
sshd: 87.120.171.135
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 175.103.44.59
sshd: 175.103.44.59
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 218.15.221.84
sshd: 218.15.221.84
# DenyHosts: Mon Aug 29 12:27:12 2011 | sshd: 173.254.212.133
sshd: 173.254.212.133
# DenyHosts: Mon Aug 29 13:12:15 2011 | sshd: 192.168.1.83
sshd: 192.168.1.83
------------------------------------------------------------------------------------------

сега пробвах от друго PC, направих десетки грешки на root password-а и нито го блокира, само го добави в /etc/hosts.evil - последния запис. 192.168.1.83, спокойно мога да продължа да пробвам паролата на root.

....

П.С : промених hosts.evil с hosts.deny и заработи, но когато написах

ps -aux |grep denyhosts

Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
root      1842  0.0  0.0   3300   744 pts/1    S+   14:32   0:00 grep denyhosts

Аз го стартирам още с boot-а на машината, настроил съм го с tool-а rcconf да е boot on startup, та въпроса ми е следния необходимо ли е добавяне в crontab за chek през определено време.

Здравейте,
напоследък ми се случваха няколко apache насочени атаки, и от тогава започнах почти всеки ден да си чета системния лог, което разкри пред мен много интересни неща. Последните няколко дни в лог-а има хиляди редове със следното нещо ...

Aug 27 02:32:50 deb sshd[28987]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.0.58.162  user=root
Aug 27 02:32:52 deb sshd[28987]: Failed password for root from 173.0.58.162 port 38593 ssh2
Aug 27 02:32:54 deb sshd[28995]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.0.58.162  user=root
Aug 27 02:32:56 deb sshd[28995]: Failed password for root from 173.0.58.162 port 39680 ssh2


това е почти непрекъснато, особенно от снощи насам, не е само от това ip 173...., и от доста други.
Във firewall-а съм си сетнал следния ред ..

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP


но понеже не съм голям linux корифей, потърсих някакво решение на ssh проблема ми, и открих това .. http://www.pc-freak.net/blog/maximal-protection-of-ssh-attacks-if-your-server-has-to-stay-with-open-port-ssh-secure-shell-to-the-whole-world/

изпълних следните неща :

/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state -state NEW -m recent -set
/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state -state NEW -m recent -update -seconds 60 -hitcount 5 -j DROP

и ми изписа това : Bad argument `NEW'

не разбирам iptables, и за това ми е въпроса ...какво да правя, предполагам че все някой ден може и да успеят да ме хакнат, след толкова много пробване. Как да защитя sshd-то ?

П.С eth0 = external connection

това горното не е ли вярно ?

Да, да да ...

0 10,11,12,13,14,15,16,17,18,19,20,21,22,23,0,1 * * * /patch_to_script/scr.sh