Fórum Ubuntu CZ/SK

Ostatní => Archiv => Téma založeno: Jakub Kocourek 13 Března 2007, 10:04:34

Název: SSH blokace
Přispěvatel: Jakub Kocourek 13 Března 2007, 10:04:34

Potřebuju vyřešit problém s bezpečností ssh. Na serveru mám zakázaný root login, takže útočníci, kteří zkouší root login mi nevadí. Poslední dobou se ale množí slovníkové útoky, které odhadují uživatelské jméno. Je nějaká možnost, jak útočníka při několika pokusech na nějakou dobu blokovat? Mám nastaveno max. 2 pokusy, ale prodleva po nich není dostatečná. Za 24 hodin útočník stihne vyzkoušet přes 1000 možností (já to zjistím druhý den, když mi přijde souhrn LogWatch).
Na serveru běží SnortInline a iptables firewall (budu ještě dolaďovat IPtables, aby opravdu vše šlo na Snort a pak až do systému).
Je tedy možné, aby na to reagoval Snort? Nebo aby to nějak ošetřilo samotné SSH?

Díky
Jakub Kocourek

Název: SSH blokace
Přispěvatel: Pavelp 13 Března 2007, 11:13:09

Jestli je to z jedne site, blokoval bych to pomoci iptables. Pokud na SSH potrebujete jen vy, obratit policy a povolit jen svoje IP. Kdyz na SSH jde vice uzivatelu, je dobra rada draha, jen pevna hesla a verit SSH.

Název: SSH blokace
Přispěvatel: LS 13 Března 2007, 12:03:07

Pokud se ma ke stroji pripojovat vice uzivatelu z ruznych mist s predem nedefinovanymi IP adresami (nelze pouzit nastaveni firewallu nebo hosts.allow/deny), doporucuji pouzit SSH Key Authentication.

Název: SSH blokace
Přispěvatel: Jakub Kocourek 13 Března 2007, 12:23:58

No, když zjistím, že se někdo 1000x pokusil o útok, tak ho blokuju pomocí iptables. Šlo mi o to, jestli třeba Snort nedokáže nějak zjistit, že k takovým pokusům dochází.
No, pak mě napadá jedině skript typu:
Vyjet z LogWatche logy od ssh, zjistit přes nějaké filtry, kdo se pokusil přistoupit víc jak X-krát a poslat pravidlo do iptables. Ale do toho se mi moc nechce :)

Jakub Kocourek

Název: SSH blokace
Přispěvatel: Pavelp 13 Března 2007, 14:38:43

To bych videl o drzku v tom, ze byste se taky jenou nemusel dostat na masinu.

Název: SSH blokace
Přispěvatel: jolae 13 Března 2007, 22:21:49

A co zkusit pustit ssh na jinem portu?

Název: SSH blokace
Přispěvatel: Pavelp 14 Března 2007, 06:31:00

Podle nekterych nazoru by to mohlo pomoci pri odrazeni jednoduchych utoku. Pro chytrejsi utocniky to prekazka nebude. Jde o to zneprijemnit patrani, ne zamezit pristup.

Název: SSH blokace
Přispěvatel: zigi 14 Března 2007, 10:03:23

jinak na fedore existuje balik DenyHost , ktery si parsuje logy a haze ip do hosts.deny

Název: SSH blokace
Přispěvatel: romi 14 Března 2007, 19:23:28

prihlasovanie pomocou klucov ;)) tie nik nezisti :PP (iba ak ti ho uchmatne :P )

Název: SSH blokace
Přispěvatel: Jakub Kocourek 14 Března 2007, 19:29:03

Díky všem za odpovědi. No vidím to na ty klíče. SSH si posunu na nějaký jiný port - většina útočníků stejné hledá jen na 22 a proti portscanu mě trošku chrání Snort Inline.

Jakub