Unix/Linux - защита от brute force по ssh - Безопасность

imhoman101 · 08.01.2006, 04:23

Привет всем.

Часто, просматривая логи, замечаю что какие-то нехорошие товарищи последовательно перебирают разные комбинации username/password на моей машине. Машина - сервак, с открытым 22 (ssh) портом. Сделать "белый список" разрешенных хостов каким можно логиниться нельзя, тк - сервак. И пользователи бывает с разных точек земного шара логинятся.

В идеале видится тулза, которая логи просматривает с каким-то периодом, и в случае обнаружения хакера (с одного хоста к примеру больше 30 неудачных попыток логина за 10 минут), автоматически блокирует данный ИП - вносит его в "черный список" (/etc/hosts.deny - к примеру), или вообще на уровне iptables его пакеты обламывает.

Народ, а у кого-нибудь уже есть готовые проверенные/готовые рецепты ?

ПС Самому пока лень. А вообще можно написать баш+сед/аwк скрипт к примеру, и в crontab лист его прописать, чтобы каждые 10 минут запускался.

FantomIL · 08.01.2006, 09:34

imhoman101
sshdfilter спасет отца русской демократии

Читай здесь: ssh brute force attack blocker
И здесь еще:Protecting Linux against automated attackers

rendal1 · 08.02.2006, 17:33

Есть такая тема pam_abl, но при этом ssh-аутентификация должна быть настроена через pam. Подробнее http://www.hexten.net/pam_abl/

08.01.2006, 04:23	# 1
imhoman101 Member Регистрация: 18.11.2005 Сообщения: 254	Unix/Linux - защита от brute force по ssh Привет всем. Часто, просматривая логи, замечаю что какие-то нехорошие товарищи последовательно перебирают разные комбинации username/password на моей машине. Машина - сервак, с открытым 22 (ssh) портом. Сделать "белый список" разрешенных хостов каким можно логиниться нельзя, тк - сервак. И пользователи бывает с разных точек земного шара логинятся. В идеале видится тулза, которая логи просматривает с каким-то периодом, и в случае обнаружения хакера (с одного хоста к примеру больше 30 неудачных попыток логина за 10 минут), автоматически блокирует данный ИП - вносит его в "черный список" (/etc/hosts.deny - к примеру), или вообще на уровне iptables его пакеты обламывает. Народ, а у кого-нибудь уже есть готовые проверенные/готовые рецепты ? ПС Самому пока лень. А вообще можно написать баш+сед/аwк скрипт к примеру, и в crontab лист его прописать, чтобы каждые 10 минут запускался. Последний раз редактировалось imhoman101; 08.01.2006 в 04:28.

08.01.2006, 09:34	# 2
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	imhoman101 sshdfilter спасет отца русской демократии Читай здесь: ssh brute force attack blocker И здесь еще:Protecting Linux against automated attackers __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

08.02.2006, 17:33	# 3
rendal1 Junior Member Регистрация: 14.12.2005 Адрес: Саратов Сообщения: 62	Есть такая тема pam_abl, но при этом ssh-аутентификация должна быть настроена через pam. Подробнее http://www.hexten.net/pam_abl/ __________________ Какая была бы тишина, если бы все говорили только то, что знают.