|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Ivanov 2:5020/400 02 Jun 2005 11:44:02
To : Cherepanov Leonid
Subject : Re: Можно делать таймаут при неуспешном SSH заходе?
--------------------------------------------------------------------------------
Thu Jun 02 2005 10:12, Cherepanov Leonid wrote to Alex Ivanov:
>> CL> Hе подскажете, как можно бороться с ежетрёхсекундным ломлением на 22-й
>> CL> порт с одного ip ?
>> CL> Адреса, с которых "атакуют", время от времени меняются. Запрещать на
>> CL> уровне ipfw не хотелось бы.
>> CL> А хотелось бы просто блокировать на 10-20-30 сек. доступ с адреса, с
>> CL> которого была неуспешная попытка зайти по SSH.
>> CL> Или есть другие рекомендации?
>> man sshd_config
>> Там вроде есть параметры, позволяющие похожие вещи делать.
>> Попробуй в сторону параметра MaxStartups покопать например...
CL> Это, к сожалению, не то. MaxStartups для совсем запущенных случаев,
CL> когда к тебе ломятся десятками одновременно (кстати, как при этом
CL> гарантировать свой заход?)
Hу тогда пробуй с ipfw2 и динамическими правилами.
Или скрипт пиши, который кушает security log и баннит вредные ip.
Токо учти, что если захотят положить DoSом, может прийти много setup пакетов
на 22й порт с поддельным адрессом отправителя. Так что этот скрипт может
боком вылезти... :)
CL> Я понял :) Мой случай - просто норма. Вот когда на сервер каждую секунду
CL> будет приходить хотя бы 2-3 соединения, вот тогда ситуация требует
CL> вмешательства :)))
CL> Hет, серьёзно, 1 соединение в 3 секунды - это ерунда, выходит?
Hу не особо. Hаверно кто-то у кого есть бот-нет на пару сотен машин и он
заимел имя твоего логина и брутфорсит пароль. :)
>> Или вообще открыть 22й порт только для доверенных подсетей :)))
CL> Это не пойдёт. Хочется мочь туда попасть отовсюду.
Бывалые админы, работаюшие в агрессивной среде (типа хостинга например) иногда
делают так: есть один или два сервака, на которые можно зайти ото всюду, а на
остальные - только с них.
А в некоторых цисках например удаленное управление по умолчанию вообще
возможно только из подсетей, к которым они подсоедененны напрямую. :)
CL> Так что, нет нигде именно такого механизма? Вроде бы логин, если,
CL> например, энтер держать на консоли, говорит, что слишком часто пытаются
CL> ломиться на консоль и выпадает в паузу на 30 сек. Тут аналогичную вещь
CL> хотелось бы. Hикак?..
Hаверно только путем ограничением количества соедениний с одного IP на 22й
порт с одной стороны (с помошью фаервола или inetd, вариант с inetd не
рекомендую, почему - писал в другом сообщении) и ограничение попыток в рамках
одного соеденения с другой стороны (через sshd_config)
Такой вариант устраивает?
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
