Ahoj,
Osobne mam v /etc/ssh/sshd_configu rulesety pro povolene uzivatele a
prihlasuju se pouze klicem.
SSH mam na posunutem portu, ale to tolik nehraje roli, dnesni automaty
to stejne najdou.
a fail2ban mi do tabulky v PF ktera se menuje <BadGuys> prida na zaklade
nastaveni zaznam o ipcku.
no a druhe pravidlo v PF je:
block in log quick from <BadGuys> to any
A jednou za cas kdyz si vzpomenu tak ji promaznu (mam ji jako file).
Sice je to obcas otrava, neustale mi tam skacou servery mrkvosoftu
(hlidam tim fail2banem i smtp/imap sluzby a napriklad office365 se
chovaj jako hovado takze to prekroci detekcni hranice), ale nic neni
dokonale :-). Tak si holt partak jednou za cas postezuje ze mu nechodej
majly od zakazniku z off365, tak to promaznu a zas je chvili klid :-D.
Vilem
On 17. 01. 19 16:11, Tomáš Drgoň wrote:
Ahoj,
aj denyhosts je skript v pythone a ostane bezat pod rootom /co sa mi
moc napaci/.
Podla vsetkeho dokaze zosynchronizovat data medzi servermi.
Potom uz len staci, aby iny program na danom serveri spracoval
/etc/hosts.deniedssh (tu su aktualne zakazane IP, mozu aj expirovat )
a aktualizoval ipfw.
S fail2ban blokujes aj ine sluzby ? A len pomocou /etc/hosts.allow ?
S pozdravom
Tomáš Drgoň
On 17. 1. 2019 13:48, Ivo Hazmuk wrote:
Ahoj,
On 01/17/19 13:23, Dan Lukes wrote:
Tomáš Drgoň wrote on 17. 1. 2019 11:13:
co pouzivate na blokovanie utokov na SSH ?
používám fail2ban. Je to velký lachtan v Pythonu. Leccos je tam
nachystané (SSH, Sendmail, ...). Musel jsem vyřešit, jak použít ipfw.
To nebylo nachystané. Ale teď mi stačí udělat 'pkg add fail2ban',
nakopírovat 2 vlastní konfigurační soubory a upravit
/etc/rc.conf.local a je téměř hotovo.
I.
Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl
protoze se nenasel maintainer. Ale je stale funkcni.
V pripade zajmu muzu poskytnout, vcetne puvodniho
"/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako
se standardnim FreeBSD portem.
Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri
prihlasovani pouziva PAM framework.
Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere
pokus o autentizaci prichazi se vybere pravidlo (to abys, napriklad,
mohl byt vuci zamestnancum z vnitrni site tolerantnejsi ne vuci
externim klientum), a pravidlo rika, kolik neuspesnych pokusu za
stanoveny cas muze z konkretni zdrojove IP prijit. Pokud pocet
stanovenou mez presahne, je prihlaseni z teto IP na stanovenou dobu
zablokovano.
Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne
prisnejsi, tak benevolentnejsi
Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen
moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze
prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s
temihle utoky moc nepotkavam - typicky utocnik chce najit heslo a
chce mit klid a dostatek casu an jeho hledani, proto to vetsinou
zkousi tak aby sever nepretizil a tim na sebe neupozorni.
Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se
informace o neuspesnych pokusech o prihlaseni daly ukladat z vice
chranenych serveru do jedne databaze a tak by pokusy o utocnika na
jednom serveru vedly k zablokovani dane IP na vsech, ale je to v
TODO listu opravdu hodne hluboko a tak, prestoze je to uprava spis
jednouducha to na brzkou implementaci moc nevypada ...
Dan
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
