denyhosts-2.6_7 Script to thwart ssh attacks

Dan Lukes dan at obluda.cz
Thu Jan 17 13:23:07 CET 2019


Tomáš Drgoň wrote on 17. 1. 2019 11:13:
> co pouzivate na blokovanie utokov na SSH ?

Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl 
protoze se nenasel maintainer. Ale je stale funkcni.

V pripade zajmu muzu poskytnout, vcetne puvodniho 
"/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako se 
standardnim FreeBSD portem.

Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri 
prihlasovani pouziva PAM framework.

Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere pokus o 
autentizaci prichazi se vybere pravidlo (to abys, napriklad, mohl byt 
vuci zamestnancum z vnitrni site tolerantnejsi ne vuci externim 
klientum), a pravidlo rika, kolik neuspesnych pokusu za stanoveny cas 
muze z konkretni zdrojove IP prijit. Pokud pocet stanovenou mez 
presahne, je prihlaseni z teto IP na stanovenou dobu zablokovano.

Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne 
prisnejsi, tak benevolentnejsi

Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen 
moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze 
prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s temihle 
utoky moc nepotkavam - typicky utocnik chce najit heslo a chce mit klid 
a dostatek casu an jeho hledani, proto to vetsinou zkousi tak aby sever 
nepretizil a tim na sebe neupozorni.

Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se informace 
o neuspesnych pokusech o prihlaseni daly ukladat z vice chranenych 
serveru do jedne databaze a tak by pokusy o utocnika na jednom serveru 
vedly k zablokovani dane IP na vsech, ale je to v TODO listu opravdu 
hodne hluboko a tak, prestoze je to uprava spis jednouducha to na brzkou 
implementaci moc nevypada ...

Dan


More information about the Users-l mailing list