denyhosts-2.6_7 Script to thwart ssh attacks
Vilem Kebrt
vilem.kebrt at gmail.com
Thu Jan 17 21:07:27 CET 2019
Ahoj,
Osobne mam v /etc/ssh/sshd_configu rulesety pro povolene uzivatele a
prihlasuju se pouze klicem.
SSH mam na posunutem portu, ale to tolik nehraje roli, dnesni automaty
to stejne najdou.
a fail2ban mi do tabulky v PF ktera se menuje <BadGuys> prida na zaklade
nastaveni zaznam o ipcku.
no a druhe pravidlo v PF je:
block in log quick from <BadGuys> to any
A jednou za cas kdyz si vzpomenu tak ji promaznu (mam ji jako file).
Sice je to obcas otrava, neustale mi tam skacou servery mrkvosoftu
(hlidam tim fail2banem i smtp/imap sluzby a napriklad office365 se
chovaj jako hovado takze to prekroci detekcni hranice), ale nic neni
dokonale :-). Tak si holt partak jednou za cas postezuje ze mu nechodej
majly od zakazniku z off365, tak to promaznu a zas je chvili klid :-D.
Vilem
On 17. 01. 19 16:11, Tomáš Drgoň wrote:
>
> Ahoj,
> aj denyhosts je skript v pythone a ostane bezat pod rootom /co sa mi
> moc napaci/.
>
> Podla vsetkeho dokaze zosynchronizovat data medzi servermi.
> Potom uz len staci, aby iny program na danom serveri spracoval
> /etc/hosts.deniedssh (tu su aktualne zakazane IP, mozu aj expirovat )
> a aktualizoval ipfw.
>
> S fail2ban blokujes aj ine sluzby ? A len pomocou /etc/hosts.allow ?
>
> S pozdravom
> Tomáš Drgoň
>
> On 17. 1. 2019 13:48, Ivo Hazmuk wrote:
>> Ahoj,
>>
>> On 01/17/19 13:23, Dan Lukes wrote:
>>> Tomáš Drgoň wrote on 17. 1. 2019 11:13:
>>>> co pouzivate na blokovanie utokov na SSH ?
>>
>> používám fail2ban. Je to velký lachtan v Pythonu. Leccos je tam
>> nachystané (SSH, Sendmail, ...). Musel jsem vyřešit, jak použít ipfw.
>> To nebylo nachystané. Ale teď mi stačí udělat 'pkg add fail2ban',
>> nakopírovat 2 vlastní konfigurační soubory a upravit
>> /etc/rc.conf.local a je téměř hotovo.
>>
>> I.
>>
>>>
>>> Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl
>>> protoze se nenasel maintainer. Ale je stale funkcni.
>>>
>>> V pripade zajmu muzu poskytnout, vcetne puvodniho
>>> "/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako
>>> se standardnim FreeBSD portem.
>>>
>>> Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri
>>> prihlasovani pouziva PAM framework.
>>>
>>> Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere
>>> pokus o autentizaci prichazi se vybere pravidlo (to abys, napriklad,
>>> mohl byt vuci zamestnancum z vnitrni site tolerantnejsi ne vuci
>>> externim klientum), a pravidlo rika, kolik neuspesnych pokusu za
>>> stanoveny cas muze z konkretni zdrojove IP prijit. Pokud pocet
>>> stanovenou mez presahne, je prihlaseni z teto IP na stanovenou dobu
>>> zablokovano.
>>>
>>> Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne
>>> prisnejsi, tak benevolentnejsi
>>>
>>> Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen
>>> moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze
>>> prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s
>>> temihle utoky moc nepotkavam - typicky utocnik chce najit heslo a
>>> chce mit klid a dostatek casu an jeho hledani, proto to vetsinou
>>> zkousi tak aby sever nepretizil a tim na sebe neupozorni.
>>>
>>> Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se
>>> informace o neuspesnych pokusech o prihlaseni daly ukladat z vice
>>> chranenych serveru do jedne databaze a tak by pokusy o utocnika na
>>> jednom serveru vedly k zablokovani dane IP na vsech, ale je to v
>>> TODO listu opravdu hodne hluboko a tak, prestoze je to uprava spis
>>> jednouducha to na brzkou implementaci moc nevypada ...
>>>
>>> Dan
>>
More information about the Users-l
mailing list