Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Zablokovani IP adresy pri nespravnym prihlaseni  (Přečteno 5122 krát)

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Zablokovani IP adresy pri nespravnym prihlaseni
« kdy: 31 Července 2011, 09:01:19 »
Ahoj, premyslim jak zabezpecit server pred ruznyma pokusama o prihlaseni atd...

Tak me napadlo. Jestli by to takto teda slo.

Nejaky clovek se zkusi prihlasit pod uzivatelem root(nebo cokoliv jinaciho), ale da spatne heslo, tak nejaky script si ulozi log o tomto pristupu , zneho vycte IP adresu tu ulozi treba do nejakyho logu a potom pouzije prikaz iptables na zablokovani teto IP adresy. Potom se vlastne tento uzivatel pod stejnou iP ardesou uz nepripoji. Log bych mel ulozeny a treba pokud by to jeste odeslalo na muj mail zpravu, ze byla pridana ta a ta IP adresa do iptables, tak by to byla tresnicka na dortu.

Pokud by nekdo vedel jak na to tak bych byl vdecny za popis jak na to. Diky

Jo jedna se mi o tri sluzby , ktery by byli kontrolovany a to jsou telnet,SSH,FTP

Martin - ViPEr*CZ*

Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #1 kdy: 31 Července 2011, 09:11:19 »
Zkuste utilitu fail2ban.... A když už, tak telnet vůbec nepoužívejte!!! A pokud je to možné zkuste místo FTP přejít na sFTP.
Open source is gold way... Mint 17.2, Debian 8.1 Jessie| Ubuntu Wiki (návody) | Google vyhledávač | Qt4 návody

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #2 kdy: 31 Července 2011, 09:15:18 »
ale to prece neresi muj problem, kdyz prestanem pouzivat telnet a FTP... prece i pres sFTP se muze nekdo zkouset pripojit. Ale mozna telnet by se dal zakazat na iptables ten jeho port a nebo mu zmenit port, aby nebyl na standartnim portu, ale mozna uplne vypnout, ale mam strach ho vypnout, co kdyz si shodim i SSH :)) a uz se na server nedostanu a bude velky problem to zase rozchodit, server je v serverovne..

A ta utilita je pro konzoly ??? nejaky zkusenosti atd ?? adeji dneska vyzkousim napred na notasu pres Vmware a po poradnym otestovani to presunu na server

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #3 kdy: 31 Července 2011, 13:07:16 »
Tak se snazim rozchodit tu utilitu fail2ban, vypada to presne na to co potrebuju :) ale nemuzu to nejak rozchodit, zmenil jsem nastaveni ssh na telnet a kdyz dam restart sluzby tak to napise fail

oot@ubuntu:~# /etc/init.d/fail2ban restart
 * Restarting authentication failure monitor fail2ban                                     [fail]
root@ubuntu:~#


root@ubuntu:~# cat /var/log/fail2ban.log
2011-07-31 03:55:05,493 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2011-07-31 03:55:05,494 fail2ban.jail   : INFO   Creating new jail 'ssh'
2011-07-31 03:55:05,494 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2011-07-31 03:55:05,597 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2011-07-31 03:55:05,598 fail2ban.filter : INFO   Set maxRetry = 6
2011-07-31 03:55:05,599 fail2ban.filter : INFO   Set findtime = 600
2011-07-31 03:55:05,599 fail2ban.actions: INFO   Set banTime = 600
2011-07-31 03:55:05,674 fail2ban.jail   : INFO   Jail 'ssh' started
2011-07-31 04:00:01,134 fail2ban.jail   : INFO   Jail 'ssh' stopped
2011-07-31 04:00:01,139 fail2ban.server : INFO   Exiting Fail2ban


Tak tento problem jsem uz vyresil. prepsal jsem to zpet na SSH a nainstaloval SSH na zkousku, takze to uz se spusti, ale kdyz zadam 6 x spatne heslo tak se vubec nic nestane... iptables -L je cistej a ja se muzu klidne na SSH pripojovat znovu



Tak uz mi to funguje....Ale porad nemuzu nejak nastavit ten Telnet.... nastavuju tam

[telnet]

enabled = true
port = telnet
filter = telnetd
logpatch = /var/log/auth.log
banaction = iptables-allports
maxretry = 2

ale pri restartu sluzby to vypise fail
« Poslední změna: 31 Července 2011, 14:14:40 od Kony.cz »

Šuohob

  • Závislák
  • ***
  • Příspěvků: 2171
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #4 kdy: 31 Července 2011, 14:19:24 »
pouzivam denyhost
telnet nepouzivat, pouzij misto neho ssh (sftp)
na ssh zakaz prihlasovani se na roota, na nej zkousi hesla boti. prihlasuj se pod normalnim uctem a zvysuj si opravneni pres sudo
« Poslední změna: 31 Července 2011, 20:11:02 od Bohouš »
Tak dlouho se vrzá s Acerem, až se displej utrhne.

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #5 kdy: 31 Července 2011, 14:25:50 »
OK, to by slo, a tedka.....

jak zakazat tedy telnet a potom jak zakazat prihlaseni roota primo na SSH, tedka mi to jde... ale ja to vecer najdu, ale nevim jak na ten telnet vypnuti, mam strach abych nevypl i SSH a potom bych byl v pytly :))

RNA

  • Stálý člen
  • **
  • Příspěvků: 630
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #6 kdy: 31 Července 2011, 20:05:19 »
Telnet na veřejné adrese bych zakázal v každém případě. 
Co se týče SSH, používám Denyhost.

http://denyhosts.sourceforge.net/


Martin - ViPEr*CZ*

Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #7 kdy: 31 Července 2011, 20:14:21 »
Telnet přes iptables. Zkuste například firewallbuilder... to je klikátko ;)
Roota v ssh zakážete v konfiguraci ssh daemona.
Open source is gold way... Mint 17.2, Debian 8.1 Jessie| Ubuntu Wiki (návody) | Google vyhledávač | Qt4 návody

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #8 kdy: 01 Srpna 2011, 06:14:16 »
mohl bych poprosit o navedeni jak na zakazani telnetu teda v iptables a kde najdu to nastaveni ssh aby se tam nemohl prihlasit root ??? Diky


PS: Takze roota jsem uz zakazal, zbyva teda jeste ten telnet

PS2 : Takze uz je zablokovan i Telnet


PS3: Takze vsechno funguje ... tedka jeste nastavit to odesilani upozorneni mailem, vypsal jsem tam mail kam to ma chodit, ale nemam nastaveny sendmail.... bylo by super kdyby to podporovalo primo smtp server, jenom by ch to tam nastavil, ale hledal jsem ruzne po internetu po configach jail.conf ale nikde smtp neni pouzity....
« Poslední změna: 01 Srpna 2011, 07:20:49 od Kony.cz »

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #9 kdy: 01 Srpna 2011, 20:24:32 »
Asi nemate nekdo sprovozneny fail2ban odesilani maiu pomoci externiho smtp serveru ?? nemuzu nejak prijit na konfiguraci sendmailu na mem stroji... Kdyby nekde v konfiguraci fail2ban byla moznost zapsat ze se ma pouzit smtp server treba neco jako

Kód: [Vybrat]
mta = sendmail ale misto toho aby tam bylo treba
Kód: [Vybrat]
mta = smtp
smtp=smtp.seznam.cz
login = xxx
pass = yyy

seznam jsem tam dal samozrejme jenom jako ukazku, mam tady smtp server, ktery nepotrebuje autorizaci

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #10 kdy: 01 Srpna 2011, 20:59:29 »
Tak problem.....
Nahral jsem tam novejsi verzi configu , sice se vsechno jevi ze to jde i v iptables jsou zalozky ssh-iptables, ale kdyz vyzkousim trikrat spatne heslo, tak se nic nestane.... mohl by nekdo treba na ICQ ze by me poradil nebo na IRC ??? moje icq 177496090

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #11 kdy: 01 Srpna 2011, 23:19:45 »
1. kouknout jestli  je kontrolován správný log  ve filtrech
2. zkontrolovat regex pomocí fail2ban-regex  jestli vyhledá  špantej login
jabber:  Armus69@jabber.cz

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #12 kdy: 02 Srpna 2011, 06:06:33 »
muzes to nejak prosim rozvest ???

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #13 kdy: 02 Srpna 2011, 06:27:41 »
Takze SSH jsem vyresil, bylo to doopravdy logem, ale nemuzu prijit na ten proftpd, nasel jsem v /etc/ u proftpd ze se log ma ukladat do /var/log/proftpd/proftpd.log ale nejak mu to nevadi a nebere :)

On

  • Stálý člen
  • **
  • Příspěvků: 1136
    • Operační systémy
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #14 kdy: 02 Srpna 2011, 15:12:41 »
Co jsem tak v rychlosti pročetl tento thread, tak se budu asi opakovat, ale nevadí :) Jen přidám mé zkušenosti:

1, na blokování IP adres jednoznačně Denyhosts !! Jak jsi psal, že někdo dá špatné heslo a ty mu dáš ban, to není to pravé (teda podle toho, kolik lidí server využívá). Může se stát (a stane se), že se privilegiovaný uživatel holt splete :) Denyhosts umožňuje např vložit důvěryhodné IP do configu a u takových IP se nepočítá počet neúspěšných pokusů (např IP admina, takže si ssh neshodíš). Navíc můžeš zakázat přihlášení na roota přímo v denyhosts a definuješ si také počet přihlášení na existující i na neexistující účty (btw. ty máš debian?? Pač v Ubuntu je root účet defaultně zakázaný) ...denyhosts je pro tyto účely jednoznačně nejlepší

2, telnet a ftp = false ...všechno pryč. Vykašlal bych se na zákazy v iptables, ale jednoduše tuto službu na serveru vůbec neměl...nebo měl, ale na routeru bych nepovolil porty. Čím míň služeb, tím bezpečnější server. Pokud nebudeš mít povolený port na routeru, tak se ti stejně na ftp ani telnet nikdo nedobije (zvenčí). V interní síti by bylo nutné nastavit ještě iptables, ale já bych tyto služby jednoduše zrušil...Povolil bych jen SSH (sftp) a případně http (pokud je to i web server)

3, zasílání e-mailů - osobně používám mutt...stačí jen nainstalovat
Kód: [Vybrat]
apt-get install mutt postfix
...a pak už jen do skriptu hodit mutt. Tento skript pak do Cronu ...Já to mám udělané tak, že se spouští každou půl hodinu a pokud dojde k jakémukoliv pokusu o přihlášení, který skončí špatně, přijde mi sms a také e-mail s podrobným výpisem, kdy, z jaké IP a na jaký účet se kdo snažil dobít.

linux rulezzz :)
« Poslední změna: 02 Srpna 2011, 15:17:57 od On »
Asus M2A-VM HDMI, Athlon 64 X2 4800+, 4GB DDR2/800Mhz,Powercolor HD 2600 XT, Ubuntu 10.10
Být posledním nevadí, ale nikdy nesmíte být poslední dvakrát po sobě - Iacocca

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #15 kdy: 02 Srpna 2011, 16:01:21 »
Fail2ban nebo denyhosts, je to celkem jedno, posílají mail oba, lze dopsat i poslání  zprávy na jabber přes perl.

  Odstranění služeb které nepoužíváš je jednoznačně nejlepší řešení, ( ftp se ale špatně odstraňuje pokud server používáš jako webhosting, protože vysvětlit některým lidem FTPS SFTP SSHFS je nadlisdký úkol), pro lepší dohled múžeš použít Tiger, OSSEC, Logcheck.
 
   

 
jabber:  Armus69@jabber.cz

Kony.cz

  • Aktivní člen
  • *
  • Příspěvků: 289
Re: Zablokovani IP adresy pri nespravnym prihlaseni
« Odpověď #16 kdy: 02 Srpna 2011, 20:10:57 »
o tom FTP mate pravdu, vysvetlit lidem ze maji pouzivat FTP pres SSH pres program WinSCP je nadlicky ukon. Telnet mam zakazany. SSH mam potchytly, Fail2Ban mi zastavuje jak utoky pres SSH tak pres FTP... nic vic nemam na serveru povoleno... maily mi chodi ale jenom ze zprav SSH, s FTP mi neprijde nic a to mam nastaveno stejne jako SSH, ale proste neprijde...tedka bych to rekl ze je to v poho. pokud bych mohl nekoho obtezovat a mohl se mi mrknout na zabezpeceni serveru pres ICQ 177496090, ze bych mu dal IP adresu a on mi rekl, byl bych moooc vdecen a urcite by se nasla ta nejaka odmena pres paypal ucet.... Diky

 

Provoz zaštiťuje spolek OpenAlt.