forum.opennet.ru - "заблокировать массу SSH коннектов" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"заблокировать массу SSH коннектов"

Форум Открытые системы на сервере (Др. сетевые сервисы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"заблокировать массу SSH коннектов"	+/–
Сообщение от HAN (ok) on 02-Мрт-06, 16:37
Привет! Я думаю многоие с этим сталкивались - идет масса логинов к порту SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но это ведь грузит сервер пустым траффиком! Как можно блокировать подобные коннекты? скажем через пять неудачных - на час блокируется этот IP. Это можно сделать силами самого SSH? Спасибо! HAN
Ответить \| Правка \| Cообщить модератору

Оглавление

заблокировать массу SSH коннектов, Azazelo, 17:02 , 02-Мрт-06, (1)

SSH, 3.14PA, 18:16 , 02-Мрт-06, (2)

SSH, HAN, 19:49 , 02-Мрт-06, (3)

SSH, Gennadi, 22:05 , 02-Мрт-06, (4)

заблокировать массу SSH коннектов, vt, 23:35 , 02-Мрт-06, (5)
заблокировать массу SSH коннектов, satelit, 05:41 , 03-Мрт-06, (6)
заблокировать массу SSH коннектов, Аноним, 10:26 , 03-Мрт-06, (7)
заблокировать массу SSH коннектов, usama, 12:12 , 03-Мрт-06, (8)
заблокировать массу SSH коннектов, s_dog, 13:45 , 03-Мрт-06, (9)

заблокировать массу SSH коннектов, antonsdsd, 21:25 , 09-Мрт-11, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "заблокировать массу SSH коннектов" +/–

Сообщение от Azazelo (??) on 02-Мрт-06, 17:02

>Привет!
>Я думаю многоие с этим сталкивались - идет масса логинов к порту
>SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас
>конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но
>это ведь грузит сервер пустым траффиком!
>Как можно блокировать подобные коннекты? скажем через пять неудачных - на час
>блокируется этот IP. Это можно сделать силами самого SSH?
>
>Спасибо!
>HAN
MaxStartups
             Specifies the maximum number of concurrent unauthenticated con-
             nections to the sshd daemon.  Additional connections will be
             dropped until authentication succeeds or the LoginGraceTime
             expires for a connection.  The default is 10.
             Alternatively, random early drop can be enabled by specifying the
             three colon separated values ``start:rate:full'' (e.g.,
             "10:30:60").  sshd will refuse connection attempts with a proba-
             bility of ``rate/100'' (30%) if there are currently ``start''
             (10) unauthenticated connections.  The probability increases lin-
             early and all connection attempts are refused if the number of
             unauthenticated connections reaches ``full'' (60).
повесь sshd на какойнить порт отличный от 22 , я например повесил на 443 , заодно и через прокси коннекчусь .
также стоит вместо паролей использовать ключи .

да кстати ,поиск рулит ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "SSH" +/–

Сообщение от 3.14PA (ok) on 02-Мрт-06, 18:16

У меня FreeBSD 5.4
xl0 - внешний интерфейс
Я от брутворса избавился так:
rc.firewall
{fwcmd} add 1 reject all from any to me dst-port 22 in via xl0

после добавления этого правила никто ддостучатся на 22 порт уже не сможет
а если все таки нужно юзать SSH из вне, то дабавь правило разришающее конект с конкретного (твоего) хоста.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "SSH" +/–

Сообщение от HAN (ok) on 02-Мрт-06, 19:49

>после добавления этого правила никто ддостучатся на 22 порт уже не сможет
>
>а если все таки нужно юзать SSH из вне, то дабавь правило
>разришающее конект с конкретного (твоего) хоста.
в том то и дело как раз снаружи и надо и причем сам могу с разных IP заходить и несколько человек тоже

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "SSH" +/–

Сообщение от Gennadi (??) on 02-Мрт-06, 22:05

>>после добавления этого правила никто ддостучатся на 22 порт уже не сможет
>>
>>а если все таки нужно юзать SSH из вне, то дабавь правило
>>разришающее конект с конкретного (твоего) хоста.
>
>в том то и дело как раз снаружи и надо и причем
>сам могу с разных IP заходить и несколько человек тоже
Несколько примеров на эту тему....
http://gennadi.dyn.ee/27.html

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "заблокировать массу SSH коннектов" +/–

Сообщение от vt (ok) on 02-Мрт-06, 23:35

>Я думаю многоие с этим сталкивались - идет масса логинов к порту
>SSH с простым "подбором" пароля/логина (по уже готовым спискам).
>Как можно блокировать подобные коннекты? скажем через пять неудачных - на час
>блокируется этот IP. Это можно сделать силами самого SSH?
Силами самого sshd - нет.
Силами iptables - легко:
http://www.opennet.ru/tips/sml/41.shtml
http://www.swisspowered.net/wiki/index.php/Networking:Brute_...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "заблокировать массу SSH коннектов" +/–

Сообщение от satelit on 03-Мрт-06, 05:41

>Привет!
>Я думаю многоие с этим сталкивались - идет масса логинов к порту
>SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас
>конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но
>это ведь грузит сервер пустым траффиком!
>Как можно блокировать подобные коннекты? скажем через пять неудачных - на час
>блокируется этот IP. Это можно сделать силами самого SSH?
>
>Спасибо!
>HAN
1) Повешать сашу на другой (желательно не популярный порт).
2) Либо поставить SNORT, либо в iptables есть модуль (Patch-o-matic) ограничивающий подключения на данный порт.
3) Использовать оба вышеприведенных метода.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "заблокировать массу SSH коннектов" +/–

Сообщение от Аноним on 03-Мрт-06, 10:26

>Привет!
>Я думаю многоие с этим сталкивались - идет масса логинов к порту
>SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас
>конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но
>это ведь грузит сервер пустым траффиком!
>Как можно блокировать подобные коннекты? скажем через пять неудачных - на час
>блокируется этот IP. Это можно сделать силами самого SSH?
>
>Спасибо!
>HAN

повесь на другой порт ссх демон.
пропиши AllowUsers в sshd_config
количество коннектов уменьшиться на половину.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "заблокировать массу SSH коннектов" +/–

Сообщение от usama (ok) on 03-Мрт-06, 12:12

я сделал так:
в sshd.conf записал:
SysLogFacility AUTHPRIV
#!/usr/bin/perl
$log="Subject: IP banned\n";
%ban;
open(F, '< /var/log/secure');
while(<F>){
    $str = $_;
    $str=~/Failed password for .+ (.+) port/;
    if(!$ban{$1}){ $ban{$1}=1; }  else { $ban{$1}++; }
}
close(F);

open (BL, '>>/etc/rc.d/ban.ip');
foreach $key (keys %ban){
   if($ban{$key} > 10 && $key){
    print BL $key,"\n";
    `iptables -I tcp_new -p tcp -s $key -j DROP`;
    $log.="$key\n";
    smtp_send('postmaster@inteh.com.ua', $log);
    }
}
close(BL);

open(F, '> /var/log/secure');
print F "0";
close(F);
sub smtp_send{
local $m_addr=shift;
local $m_body=shift;
my $ret;
my $p;
use IO::Socket;
my $remote = IO::Socket::INET->new(PeerAddr => '212.40.43.98:25')
          or die "Can't create socket";
$p.=<$remote>;
print $remote "helo inteh\n";
$p.=<$remote>;
print $remote "mail from: <krot-s\@mail.ru>\n";
$p.=<$remote>;
print $remote "rcpt to: <$m_addr>\n";
$p=<$remote>;
if($p=~/250/i ){
    print $remote "DATA\n";
    $p.=<$remote>;
    print $remote "$m_body\n.\n";
    $p.=<$remote>;
if($p=~/250/i){
    $ret=0;
    }else{
    $ret.="Error:\n$p\n";
    }
}else{
$ret.= "Error: \n$p\nCan't sent the mail!\n";
}
print $remote "quit\n";
$p=<$remote>;
return $ret;
}
Тупо конечно, но слепил за 10 мин., и работает

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "заблокировать массу SSH коннектов" +/–

Сообщение от s_dog (ok) on 03-Мрт-06, 13:45

Надо опеннет читать ;)
Отсюда:
http://www.opennet.ru/opennews/art.shtml?num=6945
http://www.howtoforge.com/preventing_ssh_dictionary_attacks_...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "заблокировать массу SSH коннектов" +/–

Сообщение от antonsdsd on 09-Мрт-11, 21:25

http://anton-lebedev.blogspot.com/2011/03/fail2ban.html

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "заблокировать массу SSH коннектов"	+/–
Сообщение от Azazelo (??) on 02-Мрт-06, 17:02
>Привет! >Я думаю многоие с этим сталкивались - идет масса логинов к порту >SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас >конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но >это ведь грузит сервер пустым траффиком! >Как можно блокировать подобные коннекты? скажем через пять неудачных - на час >блокируется этот IP. Это можно сделать силами самого SSH? > >Спасибо! >HAN MaxStartups Specifies the maximum number of concurrent unauthenticated con- nections to the sshd daemon. Additional connections will be dropped until authentication succeeds or the LoginGraceTime expires for a connection. The default is 10. Alternatively, random early drop can be enabled by specifying the three colon separated values ``start:rate:full'' (e.g., "10:30:60"). sshd will refuse connection attempts with a proba- bility of ``rate/100'' (30%) if there are currently ``start'' (10) unauthenticated connections. The probability increases lin- early and all connection attempts are refused if the number of unauthenticated connections reaches ``full'' (60). повесь sshd на какойнить порт отличный от 22 , я например повесил на 443 , заодно и через прокси коннекчусь . также стоит вместо паролей использовать ключи . да кстати ,поиск рулит ...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "SSH"	+/–
	Сообщение от 3.14PA (ok) on 02-Мрт-06, 18:16
	У меня FreeBSD 5.4 xl0 - внешний интерфейс Я от брутворса избавился так: rc.firewall {fwcmd} add 1 reject all from any to me dst-port 22 in via xl0 после добавления этого правила никто ддостучатся на 22 порт уже не сможет а если все таки нужно юзать SSH из вне, то дабавь правило разришающее конект с конкретного (твоего) хоста.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "SSH"	+/–
	Сообщение от HAN (ok) on 02-Мрт-06, 19:49
	>после добавления этого правила никто ддостучатся на 22 порт уже не сможет > >а если все таки нужно юзать SSH из вне, то дабавь правило >разришающее конект с конкретного (твоего) хоста. в том то и дело как раз снаружи и надо и причем сам могу с разных IP заходить и несколько человек тоже
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "SSH"	+/–
	Сообщение от Gennadi (??) on 02-Мрт-06, 22:05
	>>после добавления этого правила никто ддостучатся на 22 порт уже не сможет >> >>а если все таки нужно юзать SSH из вне, то дабавь правило >>разришающее конект с конкретного (твоего) хоста. > >в том то и дело как раз снаружи и надо и причем >сам могу с разных IP заходить и несколько человек тоже Несколько примеров на эту тему.... http://gennadi.dyn.ee/27.html
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "заблокировать массу SSH коннектов"	+/–
Сообщение от vt (ok) on 02-Мрт-06, 23:35
>Я думаю многоие с этим сталкивались - идет масса логинов к порту >SSH с простым "подбором" пароля/логина (по уже готовым спискам). >Как можно блокировать подобные коннекты? скажем через пять неудачных - на час >блокируется этот IP. Это можно сделать силами самого SSH? Силами самого sshd - нет. Силами iptables - легко: http://www.opennet.ru/tips/sml/41.shtml http://www.swisspowered.net/wiki/index.php/Networking:Brute_...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

6. "заблокировать массу SSH коннектов"	+/–
Сообщение от satelit on 03-Мрт-06, 05:41
>Привет! >Я думаю многоие с этим сталкивались - идет масса логинов к порту >SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас >конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но >это ведь грузит сервер пустым траффиком! >Как можно блокировать подобные коннекты? скажем через пять неудачных - на час >блокируется этот IP. Это можно сделать силами самого SSH? > >Спасибо! >HAN 1) Повешать сашу на другой (желательно не популярный порт). 2) Либо поставить SNORT, либо в iptables есть модуль (Patch-o-matic) ограничивающий подключения на данный порт. 3) Использовать оба вышеприведенных метода.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

7. "заблокировать массу SSH коннектов"	+/–
Сообщение от Аноним on 03-Мрт-06, 10:26
>Привет! >Я думаю многоие с этим сталкивались - идет масса логинов к порту >SSH с простым "подбором" пароля/логина (по уже готовым спискам). У нас >конечно таких простых паролей/логинов не применяется и тут безопасность нормальная, но >это ведь грузит сервер пустым траффиком! >Как можно блокировать подобные коннекты? скажем через пять неудачных - на час >блокируется этот IP. Это можно сделать силами самого SSH? > >Спасибо! >HAN повесь на другой порт ссх демон. пропиши AllowUsers в sshd_config количество коннектов уменьшиться на половину.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

8. "заблокировать массу SSH коннектов"	+/–
Сообщение от usama (ok) on 03-Мрт-06, 12:12
я сделал так: в sshd.conf записал: SysLogFacility AUTHPRIV #!/usr/bin/perl $log="Subject: IP banned\n"; %ban; open(F, '< /var/log/secure'); while(<F>){ $str = $_; $str=~/Failed password for .+ (.+) port/; if(!$ban{$1}){ $ban{$1}=1; } else { $ban{$1}++; } } close(F); open (BL, '>>/etc/rc.d/ban.ip'); foreach $key (keys %ban){ if($ban{$key} > 10 && $key){ print BL $key,"\n"; `iptables -I tcp_new -p tcp -s $key -j DROP`; $log.="$key\n"; smtp_send('postmaster@inteh.com.ua', $log); } } close(BL); open(F, '> /var/log/secure'); print F "0"; close(F); sub smtp_send{ local $m_addr=shift; local $m_body=shift; my $ret; my $p; use IO::Socket; my $remote = IO::Socket::INET->new(PeerAddr => '212.40.43.98:25') or die "Can't create socket"; $p.=<$remote>; print $remote "helo inteh\n"; $p.=<$remote>; print $remote "mail from: <krot-s\@mail.ru>\n"; $p.=<$remote>; print $remote "rcpt to: <$m_addr>\n"; $p=<$remote>; if($p=~/250/i ){ print $remote "DATA\n"; $p.=<$remote>; print $remote "$m_body\n.\n"; $p.=<$remote>; if($p=~/250/i){ $ret=0; }else{ $ret.="Error:\n$p\n"; } }else{ $ret.= "Error: \n$p\nCan't sent the mail!\n"; } print $remote "quit\n"; $p=<$remote>; return $ret; } Тупо конечно, но слепил за 10 мин., и работает
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

9. "заблокировать массу SSH коннектов"	+/–
Сообщение от s_dog (ok) on 03-Мрт-06, 13:45
Надо опеннет читать ;) Отсюда: http://www.opennet.ru/opennews/art.shtml?num=6945 http://www.howtoforge.com/preventing_ssh_dictionary_attacks_...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "заблокировать массу SSH коннектов"	+/–
	Сообщение от antonsdsd on 09-Мрт-11, 21:25
	http://anton-lebedev.blogspot.com/2011/03/fail2ban.html
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору