denyhosts-2.6_7 Script to thwart ssh attacks
Dan Lukes
dan at obluda.cz
Thu Jan 17 13:23:07 CET 2019
Tomáš Drgoň wrote on 17. 1. 2019 11:13:
> co pouzivate na blokovanie utokov na SSH ?
Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl
protoze se nenasel maintainer. Ale je stale funkcni.
V pripade zajmu muzu poskytnout, vcetne puvodniho
"/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako se
standardnim FreeBSD portem.
Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri
prihlasovani pouziva PAM framework.
Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere pokus o
autentizaci prichazi se vybere pravidlo (to abys, napriklad, mohl byt
vuci zamestnancum z vnitrni site tolerantnejsi ne vuci externim
klientum), a pravidlo rika, kolik neuspesnych pokusu za stanoveny cas
muze z konkretni zdrojove IP prijit. Pokud pocet stanovenou mez
presahne, je prihlaseni z teto IP na stanovenou dobu zablokovano.
Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne
prisnejsi, tak benevolentnejsi
Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen
moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze
prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s temihle
utoky moc nepotkavam - typicky utocnik chce najit heslo a chce mit klid
a dostatek casu an jeho hledani, proto to vetsinou zkousi tak aby sever
nepretizil a tim na sebe neupozorni.
Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se informace
o neuspesnych pokusech o prihlaseni daly ukladat z vice chranenych
serveru do jedne databaze a tak by pokusy o utocnika na jednom serveru
vedly k zablokovani dane IP na vsech, ale je to v TODO listu opravdu
hodne hluboko a tak, prestoze je to uprava spis jednouducha to na brzkou
implementaci moc nevypada ...
Dan
More information about the Users-l
mailing list