Para quem pediu links sobre o knocked: http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki http://www.zago.eti.br/ssh/knock.html http://www.dicas-l.com.br/dicas-l/20060913.php
Sobre o ossec bloquear ataques, pero que eu lembro ter lido, ele bloqueia por um tempo determinado, depois libera novamente o ip (isso é configurável). Porém, ele está fazendo o bloqueio, mas até hj não vi uma entrada de ip no meu /etc/hosts.deny. Achei um pouco confuso de alterar a configuração e criar regras nele. []'s, Renato On 29 jan, 17:41, "Maxwillian Miorim" <[EMAIL PROTECTED]> wrote: > > > On 29 jan, 10:20, "Rodrigo Montoro (Sp0oKeR)" <[EMAIL PROTECTED]> > > > wrote: > > >> Ola Renato, > > >> 1-) Voce habilitou o active-response ? > > >> 2-) Se sim da uma olhada no active-response.log e veja as entradas. > > > >> Por padr�o alertas com level 7 ou maior sao automaticamente > > >> bloqueados caso o active response estiver ativado. > > >> Outro detalhe, � que o active response tem o timeout, ou seja, apos > > >> 10 minutos por padrao ele remove as regras, mas isso � configuravel. > > > >> Tenho algumas coisas de OSSEC (os tutoriais de versoes antigas mais > > >> ainda funcional emhttp://www.brc.com.br/artigos/) > > > >> Qualquer duvida pode mandar mail em PVT tambem. > > > >> []zz! > > > >> 2008/1/28 Psycho Mantys : > > > >> > Em 28/01/08, Kristian Erik Hermansen <[EMAIL PROTECTED]> > > >> > escreveu: > > > >> > > 2008/1/28 renato Rudnicki <[EMAIL PROTECTED]>: > > >> > > > Ola. Instalei o ossec no meu servidor de internet e o cliente na > > minha > > >> > > > esta��o. Ele est� mandando emails e monitorando os logs > > >> corretamente, > > >> > por�m, > > >> > > > pelo que eu andei checando, ele n�o est� bloqueando os ips no > > >> > > > /etc/hosts.deny. Temo como configurar o ossec, para que depois de > > 4 > > >> > > > tentativas de ssh, ele bloqueie por completo o acesso ao meu > > servidor > > >> ? > > > >> > > Do you know about sshguard or denyhosts? > > >> > > -- > > >> > > Kristian Erik Hermansen > > >> > > "Know something about everything and everything about something." > > > >> > > Mas uma coisa, o denyhost nao sei como anda, mas ele tinha uma > > falha > > >> para > > >> > ataques DoS. Era so um problema com uma expressao regular, que vc pode > > >> > ajeitar no codigo fonte. Se alguem usar e tiver desatualizado > > recomendo > > >> ver > > >> > se isso ja foi corrigido. Se nao foi, e so alterar a regex que cuida > > dos > > >> > logs. Qq detalhe, procurem saber :D > > > >> > > -- > > >> > > Adote um pinguim, saiba como! Me mande um e-mail demonstrando > > interesse! > > > >> > >http://www.slackware.com > > >> > >http://img365.imageshack.us/img365/8483/snapshot3ak6.png > > >> > > U.L. : 450347 > > >> > > Fnord > > "renator" <[EMAIL PROTECTED]> escreveu: > > > > Ola. Obrigado pela resposta de todos. Ja testei ossec, denyhosts e > > > daemonshield. Todos funcionaram paricalmente, porém, não forma capazes > > > de bloquear os ataques quando o atacante muda o usuário. Sim, ativei > > > auto response, firewall drop, tudo....andei conversando com o pessoal > > > do canal gnulinux, e chegue a conclusão que acredito ter achado uma > > > ferramenta que possa resolver meu problema. Chama-se quick.....dei > > > uma olhada sobre ela e achei muito boa, e bem segura.....amanha vou > > > começar a testá-la. > > > > []'s, Renato > > 2008/1/29 Ataliba Teixeira <[EMAIL PROTECTED]>: > > > Legal Renato, e você tem o link e ou alguma informação sobre este > > programa que possa postar aqui na lista ? > > > GOstaria de testá-la também :-) > > eu costumo usar port knocking, muito mais simples. brute force só é um > problema quando tu usa senhas fracas, eu também não costumo usar > senhas, uso chaves e o root não faz logon. caso eu esteja meio > paranoico, coloco o sshguard junto, mas geralmente o port knocking + > chaves já é mais que suficiente. > > são 65535 portas tcp, se tu usar uma sequencia de 5 ou 6 portas faz > com que um brute force para descobrir a sequencia certa leve um certo > tempo, usando um pouco de criatividade (e quem sabe udp também? :) da > pra fazer algo bem seguro... ;) > > -- > Max --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
