Moje logi są regularnie zawalone żądaniami logowań na ssh z różnych ipków (kilkadziesiąt) tak mniej więcej na sekunde mam jedną próbę logowania. Jak to ograniczyć ? Może coś w stylu nieudane logowanie ogranicza danemu IP dostęp do ssh na następne 5-10 minut .

Jest jakieś rozwiązanie które nie zablokuje dostępu do strony tylko zablokuje dostęp do shh ?

Znalałem coś takiego jak poniżej, lecz poniższy skrypt ma jak dla mnie kilka wad.
1 Skrypt poniżej bedzie mi blokował dostęp dla danego ip do całej strony, a nie tylko ssh no i
2 Wolałbym aby blokowało to tylko dane ip na jakiś czas a nie na zawsze ( a co bedzie jak będę miał stałe ip i pomylę się te kilka razy )
3 Czy skanowanie za pomoca wyrazeń regularnych logów co np minute logów nie spowoduje, wiekszego obciązenia ?

Może ma ktoś jakieś inne rozwiązania tego problemu (juz napisane ). Jestem początkującym linuxiarzem i nie wiem jak to ugryźć. ? Może jakiś soft ?

Zmien port na ktorym slucha ssh jakis egzotyczny, np.: 666:)

Ktos atakuje Cie slownikowo - admin nie moze tego jakos zabezpieczyc?

portsentry + iptables
w konfiguracji portsentry można ustawić blokowanie adresów ip po próbie ataku

jesli masz stale ip to faktycznie najlepiej przerzuc sshd na jakis inny wysoki port, wpuszczaj na ten port tylko "zaufane" adresy oraz loginy - reszte zrzucaj na glebe.

e e e po co tak brutalnie i z kombinacjami

primo: BFD (Brute Force Detection)
http://www.rfxnetworks.com/bfd.php

secundo:
zablokuj logowanie na roota i jezeli to jest twoj serwer z mala iloscia kont shell to podaj, ze mozna sie tylko z nich logowac. u mnie mozna sie logowac tylko na 2 konta.

To mój serwerek, więc sam sobie jestem "Ladminem" .

Na razie zrobiłem tak jak normanos powiedział, wyłączyem logowanie roota z ssh. Napiszę zaraz zbiorowy list na ovh.com i kilku innych firm których ip powtarzają się najczęściej - Pewnie i tak to walka z wiatrakami, ale może chociaż jednemu kretynowi utrudnię nieco życie.

W takim razie chyba wystarczy zamienić:

na

a także zrobienie tego: http://www.ssh.com/support/documentation/o...rs_Support.html



To zrób kopie domyślnego /etc/hosts.deny i za pomocą crona przywracaj ją do życia co np. 30 minut, tak będzie najprościej bez konieczności pisania dodatkowych skryptów.


To już zależy od tego jakimi dyskami dysponujesz. Możesz również czyścić logi co jakiś czas lub po przekroczeniu pewnej wielkości.

Dzięki za pomoc ... to chyba też wprowadzę ten skrypt w życie. Nie wiedziałem, że zmiany sa tak małe.

Pozdrawiam

jak dla mnie to zabawa z wiatrakami
polecam albo zmianę portu ssh
albo firewalla

najprostsza wersja firewalla

iptables -I INPUT -s ! TWOJE_IP -p tcp --dport 22 -j DROP

(wykrzyknik ma znaczenie)

Sam miałęm mnóstwo takich ataków na serwerze i wystarczyła zmiana portu - w tym przypadku na 30

Jak korzystasz tylko Ty z SSH, to proponowałbym odpalenie tylko na sieci daemona sshd. Wtedy nikt zza Twojej sieci się nie zaloguje Ustawiasz to zmieniająć wartość w sshd_config

coś chyba nie tak... to może i jest dobre przy sieciach lokalnych a nie na serwery dedykowane gdzie jednak trzeba mieć dostęp do serwera z zewnątrz

mozesz wykluczyc cala klase ip albo zrobic taki myk, ze po 3 nieudanych logowaniach z danego ip blokujesz go niestety nie pamietam gdzie i jak to zrobic w tym momencie.

to powinno być w konfigu sshd

więcej opcji ustawia się w login.defs w etc

np.


przede wszystkim przed jakim kolwiek działaniem polecam zastanowić się 3 razy żeby nie odciąć sobie wstępu na serwer.

Można również używać pliku zdefiniowanego przez NOLOGINS_FILE do ograniczenia kont na które można się logować przez ssh. Można to również uczynić zmieniając powłokę na np. /bin/false

Ja ogólnie polecam przede wszystkim firewalla - nie musi być on wymyślny ani jakimś kombajnem a jedynie przemyślane kilka linijek.

Napisałem "Jak korzystasz". Pozatym, nigdzie nie napisał że to dedyk. Więc się nie spinaj.

Ja korzystam z BFD, które podał Normanos. Cron wywołuje BFD co 6 minut.
Od 11/11/05 mam narazie 654 ataki.

Uniemożliwienie logowania na root i zmiana portu to jest podstawowa rzecz, którą należy zrobić, a ataki i tak będą.

moze by tak windows firewall ?

Ja bym to zrobil na krotko i ustawil w ssh logowanie na roota tylko z maszyny czyli fizycznie i tak dupa zbita .

A apacha mieć z Krasnala?

michal: obawaim sie, ze kolega obudzil sie ze snu zimoweego stad jego wzmozona aktywnosc w prawie kazdym nowym temacie chyba idzie w ilosc nie tyle w jakosc tresci

a coz to "Krasnal" ? jestem tylko szarym uzytkownikiem windowsa

ps. ilosc postow mnie wali jak bym tak chcial nabijac posty to bym odpowiadal kazdemu nowemu w dziale "Przywitaj sie" ;]

Saint: na to wygląda.

_MaStErCoBrA_: nie krozystałem z Krasnala, bo jestem tylko szarym użytkownikiem linuxa, ale słyszałem, że hosting można na tym postawić.

no to luzik lol, dobra nic juz nie pisze

Dziękuję za pomoc. Zmieniłem Port, wyłączyłem logowanie dla roota z zewnątrz ... i jeszcze parę innych rzeczy no i na razie cisza i spokój.