Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: stderr 30 Března 2008, 19:12:54
-
Zdravím,
na server se mi začal dobývat jakýsi (s prominutím) dobytek přes SSH. Naštěstí heslo není nejjednoduší, proto mu moc šancí nedávám, ale chtěl bych ho nějak odříznout. Lze nějak nastavit seznam IP adres, které mají na server blokovaný jakýkoliv přístup (http, ssh)? btw. jeho IP jsem našel v pár blacklistech..
Díky.
-
Na FreeBSD existuje TCP Wrappers, kde se dají nastavit ip adresy, kterým se zakáže nebo povolí přístup na server, určitě něco takového bude i na Ubuntu.
"Program TCP Wrappers zachycuje tyto požadavky dříve, než se jich chopí samotný démon, a vyhledá IP-adresu klienta v konfiguračním souboru. Podle dalších povelů v konfiguraci se pak rozhodne, zda bude požadavek povolen, odmítnut nebo pozměněn."
-Z knihy Síťový operační systém FreeBSD od Michaela Lucase.
-
Úplně nejjednodušeji jeho IP napište do /etc/hosts.deny (vzor jak je tam uveden)
-
Úplně nejjednodušeji jeho IP napište do /etc/hosts.deny (vzor jak je tam uveden)
jo, je tam, děkuji, taky mě to mohlo napadnout :) Mělo by to snad fungovat stejně jak výše zmíněný TCP Wrappers.. uvidíme, pohledám na netu..
-
Zdravím,
na server se mi začal dobývat jakýsi (s prominutím) dobytek přes SSH. Naštěstí heslo není nejjednoduší, proto mu moc šancí nedávám, ale chtěl bych ho nějak odříznout. Lze nějak nastavit seznam IP adres, které mají na server blokovaný jakýkoliv přístup (http, ssh)? btw. jeho IP jsem našel v pár blacklistech..
Díky.
Dobytkove se mne stridaji, jednou z Danska, pak z Tajwanu a podobne. Rozumne je, pokud mate tu moznost, nastavit firewall tak, aby povoloval spojeni na SSH jen ze site, z ktere se pripojujete Vy a ostatni se zaloguji a zahodi. Casto to byva sit tridy C, 123.456.789.0/24, v drtive vetsine pak B 123.456.0.0/16
Samozrejme ze ten dobytek muze byt na stejne siti, ale dost se tim zuzi prostor pro jine dobytky.
-
Také by mě zajímalo jaký je rozdíl mezi TCP Wrappers a /etc/hosts.deny. Pokud na to přijdete, tak to sem kdyžtak napište. V mojí knize o FreeBSD je napsáno pouze o filtrování IP a o TCP wrappers, ale o /etc/hosts.deny tam nic není, možná že to je pouze v Linuxu.
-
Nainstaluj si fail2ban - http://www.fail2ban.org/wiki/index.php/Main_Page
Funguje tak, ze po nastavenem poctu pokusu o prihlaseni zablokuje danou ip adresu na nastavitelnou dobu. Vse pres konfiguraky. Myslim, ze to jde nastavit i pro vice sluzeb. Tusim, ze je to i v oficialnich repozitarich.
Je to dobre reseni, protoze pokud zablokujest verejnou ip adresu natrvalo, zablokujes tim nejspise spoustu dalsich potencionalnich navstevniku a ty ip adresy byvaji verejne proxy, nebo neco podobnyho.
Pak jeste lze zmenit nastaveni ssh, aby bezelo na jinem portu, ale to jsem u sebe vzal z5.
-
Prosím pěkně, šlo by to obráceně, tzn. že bych povolil jen jednu vnější IP (89.xxx.xxx.xxx) adresu a pak všechny vnitřní adresy v naší síti (10.xxx.xxx.xxx)?
-
Jistě, do /etc/hosts.deny dáte
ALL:ALL
A do /etc/hosts.allow dáte
ALL: adresa
Ovšem s tímhle hodně opatrně.
-
No a není nejlepší řešení zakázat na FW přístup na ssh úplně? Respektive povolit jen určitou IP, ze které na něj chceš přistupovat? Nechat ssh koukat jen tak do světa je opravdu o hubu a i když útočník třeba nepřijde na heslo, může zkusit DDOS útok.
-
Obecně blokovat nějakou IP pokud na mě někdo útočí je celkem k ničemu. Pro útočníka většinou není problém ji stále měnit. Jediná možnost je všechno zakázat a povolit jen opravdu to nejnutnější.
-
mno a co si vytvorit PGP klic kterym se budes pripojovat.. ostatni se muzou jit bez klice klouzat
-
Jistě, do /etc/hosts.deny dáte
ALL:ALL
A do /etc/hosts.allow dáte
ALL: adresa
Ovšem s tímhle hodně opatrně.
Vyzkouším, díky. :) Jenom pro jistotu se optám, zda to platí jen pro připojení k terminálu, tzn. web bude normálně dostupný?
-
Bude fungovat tohle?
hosts.deny:
ALL:ALL
hosts:allow:
ALL:10.0.0.0 // pro síť 10.0.0.1 - 10.0.0.255
ALL:10.0.1.0 // pro síť 10.0.1.1 - 10.0.1.255
sshd:192.193.194.195 // jedna konkrétní IP adresa zvenku
apache2:ALL // všichni mohou používat Apache2
-
mno a co si vytvorit PGP klic kterym se budes pripojovat.. ostatni se muzou jit bez klice klouzat
Zrovna dnes jsem četl zajímavou věc o Knocking Daemonovi (http://reboot.cz/howto/hacking/knocking-daemon/articles.html?id=619). Více informací je také tady (http://www.portknocking.org).
Kdyžtak zkuste a podělte se o zkušenosti ;)