Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

« předchozí další »
Stran: [1]

Autor Téma: SSH blokace  (Přečteno 2439 krát)

Jakub Kocourek

  • Návštěvník
  • Příspěvků: 87
SSH blokace
« kdy: 13 Března 2007, 10:04:34 »
Potřebuju vyřešit problém s bezpečností ssh. Na serveru mám zakázaný root login, takže útočníci, kteří zkouší root login mi nevadí. Poslední dobou se ale množí slovníkové útoky, které odhadují uživatelské jméno. Je nějaká možnost, jak útočníka při několika pokusech na nějakou dobu blokovat? Mám nastaveno max. 2 pokusy, ale prodleva po nich není dostatečná. Za 24 hodin útočník stihne vyzkoušet přes 1000 možností (já to zjistím druhý den, když mi přijde souhrn LogWatch).
Na serveru běží SnortInline a iptables firewall (budu ještě dolaďovat IPtables, aby opravdu vše šlo na Snort a pak až do systému).
Je tedy možné, aby na to reagoval Snort? Nebo aby to nějak ošetřilo samotné SSH?

Díky
Jakub Kocourek
IP zaznamenána

Pavelp

  • Host
SSH blokace
« Odpověď #1 kdy: 13 Března 2007, 11:13:09 »
Jestli je to z jedne site, blokoval bych to pomoci iptables. Pokud na SSH potrebujete jen vy, obratit policy a povolit jen svoje IP. Kdyz na SSH jde vice uzivatelu, je dobra rada draha, jen pevna hesla a verit SSH.
IP zaznamenána

LS

  • Závislák
  • ***
  • Příspěvků: 3849
    • http://linux.euweb.cz
SSH blokace
« Odpověď #2 kdy: 13 Března 2007, 12:03:07 »
Pokud se ma ke stroji pripojovat vice uzivatelu z ruznych mist s predem nedefinovanymi IP adresami (nelze pouzit nastaveni firewallu nebo hosts.allow/deny), doporucuji pouzit SSH Key Authentication.
IP zaznamenána

Jakub Kocourek

  • Návštěvník
  • Příspěvků: 87
SSH blokace
« Odpověď #3 kdy: 13 Března 2007, 12:23:58 »
No, když zjistím, že se někdo 1000x pokusil o útok, tak ho blokuju pomocí iptables. Šlo mi o to, jestli třeba Snort nedokáže nějak zjistit, že k takovým pokusům dochází.
No, pak mě napadá jedině skript typu:
Vyjet z LogWatche logy od ssh, zjistit přes nějaké filtry, kdo se pokusil přistoupit víc jak X-krát a poslat pravidlo do iptables. Ale do toho se mi moc nechce :)

Jakub Kocourek
IP zaznamenána

Pavelp

  • Host
SSH blokace
« Odpověď #4 kdy: 13 Března 2007, 14:38:43 »
To bych videl o drzku v tom, ze byste se taky jenou nemusel dostat na masinu.
IP zaznamenána

jolae

  • Host
SSH blokace
« Odpověď #5 kdy: 13 Března 2007, 22:21:49 »
A co zkusit pustit ssh na jinem portu?
IP zaznamenána

Pavelp

  • Host
SSH blokace
« Odpověď #6 kdy: 14 Března 2007, 06:31:00 »
Podle nekterych nazoru by to mohlo pomoci pri odrazeni jednoduchych utoku. Pro chytrejsi utocniky to prekazka nebude. Jde o to zneprijemnit patrani, ne zamezit pristup.
IP zaznamenána

zigi

  • Aktivní člen
  • *
  • Příspěvků: 389
SSH blokace
« Odpověď #7 kdy: 14 Března 2007, 10:03:23 »
jinak na fedore existuje balik DenyHost , ktery si parsuje logy a haze ip do hosts.deny
IP zaznamenána
..:: be free - use kubuntu ::..

romi

  • Stálý člen
  • **
  • Příspěvků: 711
SSH blokace
« Odpověď #8 kdy: 14 Března 2007, 19:23:28 »
prihlasovanie pomocou klucov ;)) tie nik nezisti :PP (iba ak ti ho uchmatne :P )
IP zaznamenána
randy [HP nc6320 -- Ubuntu Gutsy Gibbon with KDE]
== linuxove minimum ==

Jakub Kocourek

  • Návštěvník
  • Příspěvků: 87
SSH blokace
« Odpověď #9 kdy: 14 Března 2007, 19:29:03 »
Díky všem za odpovědi. No vidím to na ty klíče. SSH si posunu na nějaký jiný port - většina útočníků stejné hledá jen na 22 a proti portscanu mě trošku chrání Snort Inline.

Jakub
IP zaznamenána
Stran: [1]
« předchozí další »
 

Provoz zaštiťuje spolek OpenAlt.