Ahoj,
aj denyhosts je skript v pythone a ostane bezat pod rootom /co sa mi moc
napaci/.
Podla vsetkeho dokaze zosynchronizovat data medzi servermi.
Potom uz len staci, aby iny program na danom serveri spracoval
/etc/hosts.deniedssh (tu su aktualne zakazane IP, mozu aj expirovat ) a
aktualizoval ipfw.
S fail2ban blokujes aj ine sluzby ? A len pomocou /etc/hosts.allow ?
S pozdravom
Tomáš Drgoň
On 17. 1. 2019 13:48, Ivo Hazmuk wrote:
Ahoj,
On 01/17/19 13:23, Dan Lukes wrote:
Tomáš Drgoň wrote on 17. 1. 2019 11:13:
co pouzivate na blokovanie utokov na SSH ?
používám fail2ban. Je to velký lachtan v Pythonu. Leccos je tam
nachystané (SSH, Sendmail, ...). Musel jsem vyřešit, jak použít ipfw.
To nebylo nachystané. Ale teď mi stačí udělat 'pkg add fail2ban',
nakopírovat 2 vlastní konfigurační soubory a upravit
/etc/rc.conf.local a je téměř hotovo.
I.
Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl
protoze se nenasel maintainer. Ale je stale funkcni.
V pripade zajmu muzu poskytnout, vcetne puvodniho
"/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako
se standardnim FreeBSD portem.
Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri
prihlasovani pouziva PAM framework.
Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere pokus
o autentizaci prichazi se vybere pravidlo (to abys, napriklad, mohl
byt vuci zamestnancum z vnitrni site tolerantnejsi ne vuci externim
klientum), a pravidlo rika, kolik neuspesnych pokusu za stanoveny cas
muze z konkretni zdrojove IP prijit. Pokud pocet stanovenou mez
presahne, je prihlaseni z teto IP na stanovenou dobu zablokovano.
Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne
prisnejsi, tak benevolentnejsi
Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen
moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze
prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s
temihle utoky moc nepotkavam - typicky utocnik chce najit heslo a
chce mit klid a dostatek casu an jeho hledani, proto to vetsinou
zkousi tak aby sever nepretizil a tim na sebe neupozorni.
Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se
informace o neuspesnych pokusech o prihlaseni daly ukladat z vice
chranenych serveru do jedne databaze a tak by pokusy o utocnika na
jednom serveru vedly k zablokovani dane IP na vsech, ale je to v TODO
listu opravdu hodne hluboko a tak, prestoze je to uprava spis
jednouducha to na brzkou implementaci moc nevypada ...
Dan
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
