denyhosts-2.6_7 Script to thwart ssh attacks
Ivo Hazmuk
ivo at vutbr.cz
Thu Jan 17 13:48:46 CET 2019
Ahoj,
On 01/17/19 13:23, Dan Lukes wrote:
> Tomáš Drgoň wrote on 17. 1. 2019 11:13:
>> co pouzivate na blokovanie utokov na SSH ?
používám fail2ban. Je to velký lachtan v Pythonu. Leccos je tam
nachystané (SSH, Sendmail, ...). Musel jsem vyřešit, jak použít ipfw. To
nebylo nachystané. Ale teď mi stačí udělat 'pkg add fail2ban',
nakopírovat 2 vlastní konfigurační soubory a upravit /etc/rc.conf.local
a je téměř hotovo.
I.
>
> Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl
> protoze se nenasel maintainer. Ale je stale funkcni.
>
> V pripade zajmu muzu poskytnout, vcetne puvodniho
> "/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako se
> standardnim FreeBSD portem.
>
> Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri
> prihlasovani pouziva PAM framework.
>
> Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere pokus o
> autentizaci prichazi se vybere pravidlo (to abys, napriklad, mohl byt
> vuci zamestnancum z vnitrni site tolerantnejsi ne vuci externim
> klientum), a pravidlo rika, kolik neuspesnych pokusu za stanoveny cas
> muze z konkretni zdrojove IP prijit. Pokud pocet stanovenou mez
> presahne, je prihlaseni z teto IP na stanovenou dobu zablokovano.
>
> Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne
> prisnejsi, tak benevolentnejsi
>
> Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen
> moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze
> prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s temihle
> utoky moc nepotkavam - typicky utocnik chce najit heslo a chce mit klid
> a dostatek casu an jeho hledani, proto to vetsinou zkousi tak aby sever
> nepretizil a tim na sebe neupozorni.
>
> Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se informace
> o neuspesnych pokusech o prihlaseni daly ukladat z vice chranenych
> serveru do jedne databaze a tak by pokusy o utocnika na jednom serveru
> vedly k zablokovani dane IP na vsech, ale je to v TODO listu opravdu
> hodne hluboko a tak, prestoze je to uprava spis jednouducha to na brzkou
> implementaci moc nevypada ...
>
> Dan
More information about the Users-l
mailing list