форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"iptables и подбор паролей"		+/–
Сообщение от andlis (ok) on 01-Мрт-10, 16:27
В iptables прописано ограничение по количеству обращений в минуту: -A INPUT -d server.ip -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m recent --set -A INPUT -p tcp -m recent --update --seconds 30 --hitcount 10 -j REJECT ну и меня самого при попытках частого подключения прекрасно срезает. Но в логах вакханалия: Mar  1 13:28:15 zmmu popa3d(pam_unix)[20394]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=root Mar  1 13:28:18 zmmu popa3d[20394]: Authentication failed for root Mar  1 13:28:18 zmmu popa3d(pam_unix)[20399]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=root Mar  1 13:28:20 zmmu popa3d[20399]: Authentication failed for root Mar  1 13:28:21 zmmu popa3d(pam_unix)[20401]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Mar  1 13:28:23 zmmu popa3d[20401]: Authentication failed for UNKNOWN USER Mar  1 13:28:24 zmmu popa3d(pam_unix)[20404]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Mar  1 13:28:26 zmmu popa3d[20404]: Authentication failed for UNKNOWN USER Mar  1 13:28:15 zmmu xinetd[2078]: START: pop3 pid=20394 from=213.92.11.165 Mar  1 13:28:18 zmmu xinetd[2078]: START: pop3 pid=20399 from=213.92.11.165 Mar  1 13:28:21 zmmu xinetd[2078]: START: pop3 pid=20401 from=213.92.11.165 Mar  1 13:28:23 zmmu xinetd[2078]: START: pop3 pid=20404 from=213.92.11.165 Mar  1 13:28:26 zmmu xinetd[2078]: START: pop3 pid=20407 from=213.92.11.165 и так далее до бесконечности Насколько я могу судить, это из-за первой приведенной мной строки? А как это технически делается?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iptables и подбор паролей"		+/–
Сообщение от PavelR (??) on 01-Мрт-10, 18:46
>В iptables прописано ограничение по количеству обращений в минуту: > >-A INPUT -d server.ip -m state --state RELATED,ESTABLISHED -j ACCEPT >-A INPUT -p tcp -m recent --set >-A INPUT -p tcp -m recent --update --seconds 30 --hitcount 10 -j >REJECT > >ну и меня самого при попытках частого подключения прекрасно срезает. >Но в логах вакханалия: Вакханалия ? Где вы её увидели ? Всё работает точно так, как вы наконфигурили. За тридцать секунд - разрешается десять соединений. По одному соединению в три секунды. Как раз соответствует куску приведенного вами лога. >Насколько я могу судить, это из-за первой приведенной мной строки? А как >это технически делается? Вы поясните, зачем вы делаете то, чего не понимаете (правила какие-то набиваете, и т д ) ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "iptables и подбор паролей"		+/–
	Сообщение от andlis (ok) on 01-Мрт-10, 20:54
	Ну во-первых спасибо, что ответили. Во-вторых, это что модно теперь учить жить даже не дочитав тред? >Вакханалия ? Где вы её увидели ? > >Всё работает точно так, как вы наконфигурили. За тридцать секунд - разрешается >десять соединений. По одному соединению в три секунды. Как раз соответствует >куску приведенного вами лога. Я привел кусок лога. Считаю я довольно неплохо, и соединений там сильно больше чем 1 на 3 сек. >>Насколько я могу судить, это из-за первой приведенной мной строки? А как >>это технически делается? > >Вы поясните, зачем вы делаете то, чего не понимаете (правила какие-то набиваете, >и т д ) ? Просто изумительно! Ваще можно и извиниться например.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "iptables и подбор паролей"		+1 +/–
	Сообщение от bill (ok) on 01-Мрт-10, 22:10
	>Я привел кусок лога. Считаю я довольно неплохо, и соединений там сильно >больше чем 1 на 3 сек. А где ограничение, что их не должно быть больше, чем 1 на 3 сек? Это же два лога, зачем их соединять в один, чтоб больше запутать?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "iptables и подбор паролей"		+/–
Сообщение от PavelR (??) on 01-Мрт-10, 19:23
Должен заметить, всё оказалось интересней. Вот уж не знаю, что там творится в нутрях iptables/conntrack, но действительно, у меня в конфигурации host01:/web# iptables -nvL Chain INPUT (policy ACCEPT 177M packets, 57G bytes) pkts bytes target     prot opt in     out     source               destination 203K   61M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED    16   864 AUTHS      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22    26  1260 AUTHS      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 первоначально перестало кидать пакеты новых соединений на цепочку AUTHS, видимо пропуская её на -m state Чтение манов выявило наличие модуля conntrack, но не выявило наличия разницы в их функциях. http://www.linux.org.ru/forum/admin/4437887;jsessionid=4FA52... После некотого шаманства, пакеты всё-таки стали заворачиваться на AUTHS Chain AUTHS (2 references) pkts bytes target     prot opt in     out     source               destination    15   744 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           recent: UPDATE seconds: 60 name: auths side: source reject-with icmp-port-unreachable     7   348 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           recent: SET name: auths side: source Правда я поменял последовательность правил - сначала проверяем, потом ставим. Иначе - выставили и следующее правило блокирует пакет, поскольку у меня нет проверки hitcount. Данная конфигурация жестока - если в течении минуты "пользователь" не прекращал "долбиться" - сооединение не будет пропущено. Но мы ведь не варвары, поэтому сделаем так: Chain AUTHS (2 references) pkts bytes target     prot opt in     out     source               destination    17   840 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           recent: UPDATE seconds: 60 name: auths side: source reject-with icmp-port-unreachable     8   396 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           recent: SET name: auths side: source iptables -A AUTHS -m recent --name auths --rcheck --seconds 60 -j REJECT iptables -A AUTHS -m recent --name auths --set -j ACCEPT
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "iptables и подбор паролей"		+/–
	Сообщение от andlis (ok) on 01-Мрт-10, 21:10
	По этому поводу масса литературы. Честно говоря я спросил не о том. Виноват - если криво задал вопрос. Когда я сам пытаюсь сканировать снаружи мои порты или подбирать пароли - мой фильтр меня срезает. Это происходит ИМХО потому, что я каждый раз создаю новое соединение (такой софт). Этот же чел явно подбирает пароли внутри одного соединения - поэтому и подбирает сколько хочет. Возможно я не прав. Логи вроде говорят, что соединение с ним каждый раз заканчивается... Но почему тогда мои попытки фильтр срезает, а ЕГО нет?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "iptables и подбор паролей"		+/–
	Сообщение от PavelR (??) on 01-Мрт-10, 23:30
	Mar  1 13:28:15 zmmu xinetd[2078]: START: pop3 pid=20394 from=213.92.11.165 Mar  1 13:28:18 zmmu xinetd[2078]: START: pop3 pid=20399 from=213.92.11.165 Mar  1 13:28:21 zmmu xinetd[2078]: START: pop3 pid=20401 from=213.92.11.165 Mar  1 13:28:23 zmmu xinetd[2078]: START: pop3 pid=20404 from=213.92.11.165 Mar  1 13:28:26 zmmu xinetd[2078]: START: pop3 pid=20407 from=213.92.11.165 15 +3 = 18 18 +3 = 21 21 +2 = 23 23 +3 = 26 Это называется сильно чаще чем раз в три секунды ? host01:~# telnet mail.mydomain.com 110 Trying 12.34.56.78... Connected to mail.mydomain.com. Escape character is '^]'. +OK Hello there. user user1 +OK Password required. pass passw -ERR Login failed. user user2 +OK Password required. pass pass2 -ERR Login failed. user user3 +OK Password required. pass pass4 -ERR Login failed. user user5 +OK Password required. pass pass5 -ERR Login failed. Да легко. Надо отключать такое нафиг, поскольку клиентскому софту не нужно...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "iptables и подбор паролей"		+/–
	Сообщение от andlis (ok) on 02-Мрт-10, 08:49
	>[оверквотинг удален] >user user3 >+OK Password required. >pass pass4 >-ERR Login failed. >user user5 >+OK Password required. >pass pass5 >-ERR Login failed. > >Да легко. Надо отключать такое нафиг, поскольку клиентскому софту не нужно Стоп! Можно на этом месте подробнее? Длинный столбец - это лог сессии в которой в течение одного соединения несколько раз запрашивают логин/пароль. Так? А вот дальше я не понял смысл предложения. Можно объяснить?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "iptables и подбор паролей"		+/–
	Сообщение от andlis (ok) on 02-Мрт-10, 08:59
	В догонку У меня аналогичный лог выглядит отнюдь не так. Соединяюсь telnet или маньяком все равно. open mydomain.ru 110 +OK user user +OK pass ghj -ERR Authentication failed (bad password?) Connection closed. И все - опаньки. Так только 10 раз. А почему у вас не было Connection closed? (на всякий случай скажу, что далеко не всякая софтина выдает эту строку в лог - ну это так... мало ли вдруг не знали..)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "iptables и подбор паролей"		+/–
	Сообщение от andlis (ok) on 02-Мрт-10, 12:00
	так все - я лох педальный. Действительно их строго 9 на 30 секунд. Я не заметил проброса в 30 секунд на каждый десятый раз. Пожалуйста, ответьте на мой вопрос что значило: "Да легко. Надо отключать такое нафиг"
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "iptables и подбор паролей"		+/–
	Сообщение от PavelR (??) on 02-Мрт-10, 12:12
	>так все - я лох педальный. >Действительно их строго 9 на 30 секунд. Я не заметил проброса в >30 секунд на каждый десятый раз. >Пожалуйста, ответьте на мой вопрос что значило: "Да легко. Надо отключать такое >нафиг" "Да легко" - это в адрес  конкретной реализации сервиса, позволяющей в рамках установленного ТСР соединения производить несколько попыток авторизации. "Отключать" - делать так, чтобы неудачная попытка авторизации обрывала ТСР-сессию, заставляя пересоединяться, соответственно подпадая под действие файрволла. Поскольку, обычно нормальному клиентскому софту нафиг не надо делать несколько авторизаций в одном ТСР соединении :-) А если пользователь действительно ошибся  - то ничего страшного, переподключится. Кстати говоря, кроме fail2ban, есть еще например pam-shield ... Всё это очень удачно можно прикрутить к обсуждаемому recent, заполняя его таблицы скриптами.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "iptables и подбор паролей"		+/–
	Сообщение от andlis (??) on 02-Мрт-10, 12:47
	Спасибо! >"Да легко" - это в адрес  конкретной реализации сервиса, позволяющей в >рамках установленного ТСР соединения производить несколько попыток авторизации. Так, а как вы это сделали я не понял? судя по логу - просто зашли с телнета...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "iptables и подбор паролей"		+/–
	Сообщение от PavelR (??) on 02-Мрт-10, 13:03
	>Спасибо! >>"Да легко" - это в адрес  конкретной реализации сервиса, позволяющей в >>рамках установленного ТСР соединения производить несколько попыток авторизации. > >Так, а как вы это сделали я не понял? судя по логу >- просто зашли с телнета... ну да, обычный телнет.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "iptables и подбор паролей"		+/–
	Сообщение от andlis (??) on 02-Мрт-10, 14:14
	>>Спасибо! >>>"Да легко" - это в адрес  конкретной реализации сервиса, позволяющей в >>>рамках установленного ТСР соединения производить несколько попыток авторизации. >> >>Так, а как вы это сделали я не понял? судя по логу >>- просто зашли с телнета... > >ну да, обычный телнет. а ну это меняет дело. у меня такие попытки на сервере принудительно приводят к закрытию соединения. в общем получилось, что я разобрался. Просто не так посчитал. спасибо большое за дискуссию
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "iptables и подбор паролей"		+/–
	Сообщение от PavelR (??) on 02-Мрт-10, 15:09
	>[оверквотинг удален] >>> >>>Так, а как вы это сделали я не понял? судя по логу >>>- просто зашли с телнета... >> >>ну да, обычный телнет. > >а ну это меняет дело. у меня такие попытки на сервере принудительно >приводят к закрытию соединения. >в общем получилось, что я разобрался. Просто не так посчитал. >спасибо большое за дискуссию :-) Я тоже маленько разобрался :-)))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема