denyhosts-2.6_7 Script to thwart ssh attacks

Ivo Hazmuk ivo at vutbr.cz
Thu Jan 17 13:48:46 CET 2019


Ahoj,

On 01/17/19 13:23, Dan Lukes wrote:
> Tomáš Drgoň wrote on 17. 1. 2019 11:13:
>> co pouzivate na blokovanie utokov na SSH ?

používám fail2ban. Je to velký lachtan v Pythonu. Leccos je tam 
nachystané (SSH, Sendmail, ...). Musel jsem vyřešit, jak použít ipfw. To 
nebylo nachystané. Ale teď mi stačí udělat 'pkg add fail2ban', 
nakopírovat 2 vlastní konfigurační soubory a upravit /etc/rc.conf.local 
a je téměř hotovo.

I.

> 
> Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl 
> protoze se nenasel maintainer. Ale je stale funkcni.
> 
> V pripade zajmu muzu poskytnout, vcetne puvodniho 
> "/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako se 
> standardnim FreeBSD portem.
> 
> Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri 
> prihlasovani pouziva PAM framework.
> 
> Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere pokus o 
> autentizaci prichazi se vybere pravidlo (to abys, napriklad, mohl byt 
> vuci zamestnancum z vnitrni site tolerantnejsi ne vuci externim 
> klientum), a pravidlo rika, kolik neuspesnych pokusu za stanoveny cas 
> muze z konkretni zdrojove IP prijit. Pokud pocet stanovenou mez 
> presahne, je prihlaseni z teto IP na stanovenou dobu zablokovano.
> 
> Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne 
> prisnejsi, tak benevolentnejsi
> 
> Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen 
> moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze 
> prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s temihle 
> utoky moc nepotkavam - typicky utocnik chce najit heslo a chce mit klid 
> a dostatek casu an jeho hledani, proto to vetsinou zkousi tak aby sever 
> nepretizil a tim na sebe neupozorni.
> 
> Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se informace 
> o neuspesnych pokusech o prihlaseni daly ukladat z vice chranenych 
> serveru do jedne databaze a tak by pokusy o utocnika na jednom serveru 
> vedly k zablokovani dane IP na vsech, ale je to v TODO listu opravdu 
> hodne hluboko a tak, prestoze je to uprava spis jednouducha to na brzkou 
> implementaci moc nevypada ...
> 
> Dan



More information about the Users-l mailing list