denyhosts-2.6_7 Script to thwart ssh attacks
Tomáš Drgoň
tomas.drgon at truni.sk
Thu Jan 17 16:11:17 CET 2019
Ahoj,
aj denyhosts je skript v pythone a ostane bezat pod rootom /co sa mi moc
napaci/.
Podla vsetkeho dokaze zosynchronizovat data medzi servermi.
Potom uz len staci, aby iny program na danom serveri spracoval
/etc/hosts.deniedssh (tu su aktualne zakazane IP, mozu aj expirovat ) a
aktualizoval ipfw.
S fail2ban blokujes aj ine sluzby ? A len pomocou /etc/hosts.allow ?
S pozdravom
Tomáš Drgoň
On 17. 1. 2019 13:48, Ivo Hazmuk wrote:
> Ahoj,
>
> On 01/17/19 13:23, Dan Lukes wrote:
>> Tomáš Drgoň wrote on 17. 1. 2019 11:13:
>>> co pouzivate na blokovanie utokov na SSH ?
>
> používám fail2ban. Je to velký lachtan v Pythonu. Leccos je tam
> nachystané (SSH, Sendmail, ...). Musel jsem vyřešit, jak použít ipfw.
> To nebylo nachystané. Ale teď mi stačí udělat 'pkg add fail2ban',
> nakopírovat 2 vlastní konfigurační soubory a upravit
> /etc/rc.conf.local a je téměř hotovo.
>
> I.
>
>>
>> Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl
>> protoze se nenasel maintainer. Ale je stale funkcni.
>>
>> V pripade zajmu muzu poskytnout, vcetne puvodniho
>> "/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako
>> se standardnim FreeBSD portem.
>>
>> Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri
>> prihlasovani pouziva PAM framework.
>>
>> Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere pokus
>> o autentizaci prichazi se vybere pravidlo (to abys, napriklad, mohl
>> byt vuci zamestnancum z vnitrni site tolerantnejsi ne vuci externim
>> klientum), a pravidlo rika, kolik neuspesnych pokusu za stanoveny cas
>> muze z konkretni zdrojove IP prijit. Pokud pocet stanovenou mez
>> presahne, je prihlaseni z teto IP na stanovenou dobu zablokovano.
>>
>> Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne
>> prisnejsi, tak benevolentnejsi
>>
>> Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen
>> moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze
>> prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s
>> temihle utoky moc nepotkavam - typicky utocnik chce najit heslo a
>> chce mit klid a dostatek casu an jeho hledani, proto to vetsinou
>> zkousi tak aby sever nepretizil a tim na sebe neupozorni.
>>
>> Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se
>> informace o neuspesnych pokusech o prihlaseni daly ukladat z vice
>> chranenych serveru do jedne databaze a tak by pokusy o utocnika na
>> jednom serveru vedly k zablokovani dane IP na vsech, ale je to v TODO
>> listu opravdu hodne hluboko a tak, prestoze je to uprava spis
>> jednouducha to na brzkou implementaci moc nevypada ...
>>
>> Dan
>
More information about the Users-l
mailing list