Титла: Защита на системата ?!
Публикувано от: Milen_Haskovo в Feb 14, 2007, 18:17
Удеве си прегледах логовете от /var/spool/mail/root
и по-голямата част от тях изглежда така:
Как да направя ако от даден IP адрес има примерно 3 поредни неуспешни опита за логване да му слага ban/ignore за 24 или 48 часа? Засега само съм направил таймаут 5 секунди на SSH-а, че да се спъне bruteforce-ването. Има ли друг начин за защита?
и по-голямата част от тях изглежда така:
| Примерен код |
| ailed password for invalid user recruit from ::ffff:124.125.131.162 port 56336 ssh2 Failed password for invalid user recruit from ::ffff:124.125.131.162 port 56336 ssh2 Invalid user alias from ::ffff:124.125.131.162 input_userauth_request: invalid user alias Failed password for invalid user alias from ::ffff:124.125.131.162 port 56830 ssh2 Failed password for invalid user alias from ::ffff:124.125.131.162 port 56830 ssh2 Invalid user office from ::ffff:124.125.131.162 input_userauth_request: invalid user office Failed password for invalid user office from ::ffff:124.125.131.162 port 57625 ssh2 Failed password for invalid user office from ::ffff:124.125.131.162 port 57625 ssh2 Invalid user samba from ::ffff:124.125.131.162 input_userauth_request: invalid user samba Failed password for invalid user samba from ::ffff:124.125.131.162 port 58053 ssh2 Failed password for invalid user samba from ::ffff:124.125.131.162 port 58053 ssh2 Invalid user tomcat from ::ffff:124.125.131.162 input_userauth_request: invalid user tomcat Failed password for invalid user tomcat from ::ffff:124.125.131.162 port 58625 ssh2 Failed password for invalid user tomcat from ::ffff:124.125.131.162 port 58625 ssh2 Invalid user webadmin from ::ffff:124.125.131.162 input_userauth_request: invalid user webadmin Failed password for invalid user webadmin from ::ffff:124.125.131.162 port 59110 ssh2 |
Как да направя ако от даден IP адрес има примерно 3 поредни неуспешни опита за логване да му слага ban/ignore за 24 или 48 часа? Засега само съм направил таймаут 5 секунди на SSH-а, че да се спъне bruteforce-ването. Има ли друг начин за защита?
Титла: Защита на системата ?!
Публикувано от: KPETEH в Feb 14, 2007, 19:44
А защо не го резнеш през /etc/host.deny ?
Или пък през iptables ?
iptables -A INPUT -s xxx.yyy.zzz.www -j DROP
Малеее каква глупоист бях написал
Или пък през iptables ?
| Примерен код |
| ALL:xxx.yyy.zzz.www\ |
iptables -A INPUT -s xxx.yyy.zzz.www -j DROP
Малеее каква глупоист бях написал
Титла: Защита на системата ?!
Публикувано от: VladSun в Feb 14, 2007, 19:46
Титла: Защита на системата ?!
Публикувано от: Milen_Haskovo в Feb 14, 2007, 19:49
| Цитат (KPETEH @ Фев. 14 2007,19:44) |
| А защо не го резнеш през /etc/host.deny ? Или пък през iptables ? |
Ползва проксита, всеки ден с различно IP. Най-вероятно ползва програмата Hide IP Platinum....
Титла: Защита на системата ?!
Публикувано от: KPETEH в Feb 14, 2007, 19:52
| Цитат (Milen_Haskovo @ Фев. 14 2007,19:49) | ||
Ползва проксита, всеки ден с различно IP. Най-вероятно ползва програмата Hide IP Platinum.... |
Ами тогава по-радикални мерки,ако се ssh-ваш само от локалната мрежа
пак с iptables но ще си позволиш само примерно за 192.168.0.1/24.