Настройка iptables
Ребят помогите, есть сервер на Gentoo, на нем куча сервисов(LAMP и т.д.), последнее время начали замечать попытки перебора паролей к ssh(сначала подбирают юзера, а при нахождении начинают пароли перебирать). Оно то не страшно, всё таки, пользователи с максимальными правами имеют довольно специфичные логины и не попадут в словари брутеров, но весь этот перебор кушает прилично ресурсов у сервера.На сервере также есть iptables. Собственно сам вопрос: как настроить iptables так, чтобы в случае 3 неудачных попыток авторизации в ssh с одного ip, этот ip блокировался и доступ в будущем был невозможен с него.
Желательно чтобы это правило затрагивало только ssh,а остальные сервисы не трогало.
МОжно ли так? Если да, то желательно подробней, с iptables не дружу совсем, с gentoo не очень хорошо....
- Для комментирования войдите или зарегистрируйтесь
net-analyzer/fail2ban
net-analyzer/fail2ban
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
* net-analyzer/fail2ban
* net-analyzer/fail2ban Available versions: 0.8.4-r3 Homepage: http://fail2ban.sourceforge.net/ Description: Bans IP that make too many password failuresЯ ♥ Gentoo & Funtoo
Установил его из
Установил его из portage.
Настроил по инструкции http://ru.gentoo-wiki.com/wiki/Fail2ban#.D0.97.D0.B0.D0.B2.D0.B8.D1.81.D0.B8.D0.BC.D0.BE.D1.81.D1.82.D0.B8
и секцию DEFAULT и ssh
ввожу /etc/init.d/fail2ban start и в ответ получаю
* Starting fail2ban...
* Failed to start fail2ban [ !! ]
* ERROR: fail2ban failed to start
Не могу вычислить почему не хочет стартовать
.
Только мне кажется, что в умолчательной конфигурации ssh в Gentoo злоумышленник даже зная логин и пароль обломается?..
:wq
--
Live free or die
Anarchist написал(а): Только
Надеюсь, что это описка.
Мне тоже интересно, как можно имя юзера подбирать
_SerEga_
Вот такие вот логи:
Aug 30 15:22:44 xxx sshd[17584]: Invalid user sales from 66.147.239.97
Aug 30 15:22:47 xxx sshd[17600]: Invalid user backup from 66.147.239.97
Aug 30 15:22:49 xxx sshd[17606]: Invalid user webadmin from 66.147.239.97
Aug 30 15:22:50 xxx sshd[17614]: Invalid user brian from 66.147.239.97
Aug 30 15:22:53 xxx sshd[17641]: Invalid user soft from 66.147.239.97
Aug 30 15:22:55 xxx sshd[17695]: Invalid user user from 66.147.239.97
Aug 30 15:22:56 xxx sshd[17718]: Invalid user ftpuser from 66.147.239.97
Aug 30 15:22:59 xxx sshd[17760]: Invalid user oracle from 66.147.239.97
Aug 30 15:23:00 xxx sshd[17793]: Invalid user admin from 66.147.239.97
Aug 30 15:23:02 xxx sshd[17809]: Invalid user admin123 from 66.147.239.97
Aug 30 15:23:03 xxx sshd[17837]: Invalid user guest from 66.147.239.97
Aug 30 15:23:04 xxx sshd[17854]: Invalid user test from 66.147.239.97
Aug 30 15:23:06 xxx sshd[17867]: Invalid user test123 from 66.147.239.97
Aug 30 15:23:15 xxx sshd[17940]: Invalid user webmaster from 66.147.239.97
Aug 30 15:23:16 xxx sshd[17961]: Invalid user master from 66.147.239.97
Aug 30 15:23:17 xxx sshd[17976]: Invalid user www from 66.147.239.97
Aug 30 15:23:19 xxx sshd[17989]: Invalid user support from 66.147.239.97
Aug 30 15:23:20 xxx sshd[18002]: Invalid user web from 66.147.239.97
Aug 30 15:23:22 xxx sshd[18033]: Invalid user tester from 66.147.239.97
Aug 30 15:23:23 xxx sshd[18080]: Invalid user samba from 66.147.239.97
Aug 30 15:23:24 xxx sshd[18099]: Invalid user testuser from 66.147.239.97
Aug 30 15:23:26 xxx sshd[18111]: Invalid user soporte from 66.147.239.97
Aug 30 15:23:27 xxx sshd[18149]: Invalid user abcs from 66.147.239.97
Aug 30 15:23:29 xxx sshd[18192]: Invalid user weblogic from 66.147.239.97
Aug 30 15:23:31 xxx sshd[18241]: Invalid user sales from 66.147.239.97
Aug 30 15:23:34 xxx sshd[18257]: Invalid user backup from 66.147.239.97
Aug 30 15:23:36 xxx sshd[18270]: Invalid user webadmin from 66.147.239.97
Aug 30 15:23:37 xxx sshd[18281]: Invalid user brian from 66.147.239.97
Aug 30 15:23:41 xxx sshd[18330]: Invalid user soft from 66.147.239.97
Aug 30 15:23:45 xxx sshd[18374]: Invalid user user from 66.147.239.97
Aug 30 15:23:46 xxx sshd[18456]: Invalid user ftpuser from 66.147.239.97
Aug 30 15:23:49 xxx sshd[18576]: Invalid user oracle from 66.147.239.97
Aug 30 15:23:51 xxx sshd[18598]: Invalid user admin from 66.147.239.97
Aug 30 15:23:52 xxx sshd[18625]: Invalid user guest from 66.147.239.97
Aug 30 15:23:54 xxx sshd[18639]: Invalid user test from 66.147.239.97
Aug 30 15:23:55 xxx sshd[18668]: Invalid user test123 from 66.147.239.97
Aug 30 15:24:00 xxx sshd[18720]: Invalid user webmaster from 66.147.239.97
Aug 30 15:24:01 xxx sshd[18728]: Invalid user master from 66.147.239.97
Aug 30 15:24:03 xxx sshd[18746]: Invalid user www from 66.147.239.97
Aug 30 15:24:05 xxx sshd[18759]: Invalid user support from 66.147.239.97
Aug 30 15:24:07 xxx sshd[18796]: Invalid user web from 66.147.239.97
Aug 30 15:24:09 xxx sshd[18840]: Invalid user tester from 66.147.239.97
Всё нормально,fail2ban запустил
это не перебор, это баловство
это не перебор, это баловство школьника , закрывается даже просто апстолами без всяких приблуд
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
баловство или нет, но достёт
баловство или нет, но достаёт ужасно, да и чуть нагружает серв(учитывая нагрузку на него кроме этого всего).
Тему можно закрыть
Попробуйте зайти по ssh с
Попробуйте зайти по ssh с правильным юзером и не правильным паролем, результат не отличим от неправильного юзера.
в вашем сучае хватит и забанить один ИП, но на будущее лучше делать это автоматом
/
Люди!
Вы гентушный [умолчательный] конфиг
sshdчитали?!?С ним результат попытки захода с правильным пользователем и правильным паролем будет неотличим от результатов захода с правильным пользователем и неправильным паролем.
И пользуясь случаем предлагаю организовать в родной багзилле флеш-мобчег под лозунгом "даёшь флаг
minimalдляnet-misc/openssh!!!":wq
--
Live free or die
Anarchist написал(а): С ним
Ну вот. Тебя не только я не понимаю. Поясни, каким образом ты сможешь войти в систему с неправильным паролем. Что значит
?
[ОффТопик] Если объеденить
[ОффТопик]
Если объеденить это
и это
То получается, что зайти можно только с неправильным паролем )))))
/
Рекомендую попробовать объединить с конфигом (который
/etc/ssh/sshd_configи который я с момента установки не то, что не трогал, почитать сподобился где-то на третьем годе):PasswordAuthentication noЦитированная директива как-то не ассоциируется у меня с успешной авторизацией по паролю (даже правильному)...
:wq
--
Live free or die
а прочитать ман так и
а прочитать ман так и несподобился ? :)
UsePAM Enables the Pluggable Authentication Module interface. If set to “yes” this will enable PAM authentication using ChallengeResponseAuthentication and PasswordAuthentication in addition to PAM account and session module processing for all authentication types. Because PAM challenge-response authentication usually serves an equivalent role to password authentication, you should disable either PasswordAuthentication or ChallengeResponseAuthentication. If UsePAM is enabled, you will not be able to run sshd(8) as a non-root user. The default is “no”.По дефолту, пам в гентоо включен ( ибо не слакварь или опенок)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
/
Читать страницы руководства (вслух, с выражением и пониманием прочитанного) для практически не используемого мной ПО?
Я, увы, не настолько богат...
Возникнет необходимость --- и прочитаю, и не поленюсь проверить правильность понимания мной прочитанного.
И да: вынужден признать, что здесь был не прав.
А ты знаешь выставлен ли у меня (и в какое положение) флаг
pamдляopenssh?Телепатия, не иначе :)
:wq
--
Live free or die
как вариант, перенести sshd
как вариант, перенести sshd на другой порт :) дешево и сердито :)
Я у себя перенес SSH на порт
Я у себя перенес SSH на порт 222, и сделал правила в iptables.
На мой взгляд так проще, можно регулировать и время бана, и кол-во попыток.
Интересно,
если соделать подобное:
/sbin/iptables --table nat --append PREROUTING --in-interface проблемный_Ынтырфейс --protocol tcp --syn --dport 22 --jump MIRROR,ну а сам ssh перевесить на другой порт, насколько быстро очнутся?
А вы как думаете, если порт
А вы как думаете, если порт пустой, и ответа нет?)))
Мало того, у многих MIRROR не собран.
Не больше трех попыток за 100
Не больше трех попыток за 100 минут?
Это больше проверка на трезвость похоже :).
10 минут достаточно будет - за 10 минут кулхацкер уже забудет ваш ip, да и со скоростью подбора 3 попытки в 10 минут он будет до третьего тысячелетия подбирать аккаунт.
Самое интересное, что ловит в
Самое интересное, что ловит в минуту, а не в 100 минут.
/
Голосую за [для ровного счёта] 64 минуты.
:wq
--
Live free or die
Сорри, перепроверил, не
Сорри, перепроверил, не правильно скопипастил)))
Пробруть его в ответ ))) Вот
Пробруть его в ответ )))
Вот для брута: cmRlc2t0b3AgODUuMjM2LjYuMjA2IC11IHVzZXIyIC1wIDI=
//base64 :)
Админ непробиваемый, ничто не заставит его сменить пароль.
Локальный оверлей растёт