forum.opennet.ru - "забанить на время ip-адрес. SSH." (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"забанить на время ip-адрес. SSH."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"забанить на время ip-адрес. SSH."
Сообщение от seller on 26-Сен-06, 11:39
Привет всем. Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут ввода пароля,...) логина по ssh? Спасиб.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

забанить на время ip-адрес. SSH., dukie, 11:45 , 26-Сен-06, (1)
забанить на время ip-адрес. SSH., NoName, 11:47 , 26-Сен-06, (2)
забанить на время ip-адрес. SSH., seller, 12:18 , 26-Сен-06, (3)

забанить на время ip-адрес. SSH., Ultimate, 12:23 , 26-Сен-06, (4)

забанить на время ip-адрес. SSH., seller, 12:55 , 26-Сен-06, (5)

забанить на время ip-адрес. SSH., wawont, 12:46 , 28-Сен-06, (6)

забанить на время ip-адрес. SSH., Ultimate, 13:10 , 28-Сен-06, (7)

забанить на время ip-адрес. SSH., Gennadi, 09:41 , 29-Сен-06, (8)

забанить на время ip-адрес. SSH., Hammer, 11:20 , 29-Сен-06, (9)

забанить на время ip-адрес. SSH., Николай, 18:08 , 14-Май-08, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "забанить на время ip-адрес. SSH."

Сообщение от dukie (??) on 26-Сен-06, 11:45

Например http://danger.rulez.sk/projects/bruteforceblocker/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "забанить на время ip-адрес. SSH."

Сообщение от NoName on 26-Сен-06, 11:47

>Привет всем.
>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>ввода пароля,...) логина по ssh?
>Спасиб.

Смотри hosts.allow hosts.deny
Как вариант
cat /etc/ssh/sshd_config |grep Port
Port 22
Изменить порт на котором работает SSH

MyHomePage - http://surgutnet.ru

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "забанить на время ip-адрес. SSH."

Сообщение от seller on 26-Сен-06, 12:18

>Привет всем.
>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>ввода пароля,...) логина по ssh?
>Спасиб.
Bruteforceblocker работает с pf, а у меня ipfw.
А переброска на другой порт для автоматических долбилок мало чем поможет, не так уж и трудно просканить порты и найти нужный.
В общем, спасибо за подсказки, но у меня пока нет времени возиться с pf и ставить BFB, думал может как-нить проще можно было сделать... Жаль, что такой функционал не реализован в самом sshd, было бы весьма полезно...
Хотя, переставлю sshd на другой порт, как временная мера...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "забанить на время ip-адрес. SSH."

Сообщение от Ultimate on 26-Сен-06, 12:23

>>Привет всем.
>>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>>ввода пароля,...) логина по ssh?
>>Спасиб.
>
>Bruteforceblocker работает с pf, а у меня ipfw.
>А переброска на другой порт для автоматических долбилок мало чем поможет, не
>так уж и трудно просканить порты и найти нужный.
>В общем, спасибо за подсказки, но у меня пока нет времени возиться
>с pf и ставить BFB, думал может как-нить проще можно было
>сделать... Жаль, что такой функционал не реализован в самом sshd, было
>бы весьма полезно...
>Хотя, переставлю sshd на другой порт, как временная мера...
BruteBlock - работает с ipfw
/usr/ports/security/bruteblock
http://samm.kiev.ua/bruteblock/
DenyHosts - позволяет блокировать на определенный срок
/usr/ports/security/denyhosts
http://denyhosts.sourceforge.net/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "забанить на время ip-адрес. SSH."

Сообщение от seller on 26-Сен-06, 12:55

>BruteBlock - работает с ipfw
>/usr/ports/security/bruteblock
>http://samm.kiev.ua/bruteblock/
О, это уже ближе к теме...

>DenyHosts - позволяет блокировать на определенный срок
>/usr/ports/security/denyhosts
>http://denyhosts.sourceforge.net/
Тоже поглядим...
Спасибо за наводки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "забанить на время ip-адрес. SSH."

Сообщение от wawont (??) on 28-Сен-06, 12:46

А тоже под iptables есть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "забанить на время ip-адрес. SSH."

Сообщение от Ultimate on 28-Сен-06, 13:10

>А тоже под iptables есть?
Используйте DenyHosts он работает на основе hosts.allow без ipfw, pf, iptables.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "забанить на время ip-адрес. SSH."

Сообщение от Gennadi (??) on 29-Сен-06, 09:41

>>А тоже под iptables есть?
http://gennadi.dyn.ee/27.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "забанить на время ip-адрес. SSH."

Сообщение от Hammer (ok) on 29-Сен-06, 11:20

>Привет всем.
>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>ввода пароля,...) логина по ssh?
>Спасиб.

http://snort.org/dl/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "забанить на время ip-адрес. SSH."

Сообщение от Николай (??) on 14-Май-08, 18:08

>>Привет всем.
>>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить
>>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут
>>ввода пароля,...) логина по ssh?
>>Спасиб.
>
>
>http://snort.org/dl/
на фрях в PF
table <sshbr> permanent
pass in quick proto tcp from any to ($ext_if) established
pass in quick proto tcp from any to ($ext_if) port ssh keep state (max-src-conn 3, max-src-conn-rate 2/60, overload <sshbr> flush)
block in quick proto tcp from <sshbr> to ($ext_if) port ssh probability 75%
в линуксе IPTABLES
iptables -A INPUT -m state --state ESTABLISHED,RECENT -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -m recent --set --name sshbr
iptables -A INPUT -p tcp --dport ssh -m recent --update --name sshbr --seconds 60 --hitcount 2 -j DROP
Не важно правильно или нет введен пароль, после 2 попыток вхождения в минуту и клиент дропается на 1 мин. Для веселой жизни можно не совсем дропать, а частично - у бота идут большие потери траффика, перебор зависает, у бота выход по таймауту не сразу, а через минут 15 судя по логам.
PS. Писал по-памяти, не гарантирую 100% работоспособности листинга, если что уточните в мауале

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "забанить на время ip-адрес. SSH."
Сообщение от dukie (??) on 26-Сен-06, 11:45
Например http://danger.rulez.sk/projects/bruteforceblocker/
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "забанить на время ip-адрес. SSH."
Сообщение от NoName on 26-Сен-06, 11:47
>Привет всем. >Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить >ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут >ввода пароля,...) логина по ssh? >Спасиб. Смотри hosts.allow hosts.deny Как вариант cat /etc/ssh/sshd_config \|grep Port Port 22 Изменить порт на котором работает SSH MyHomePage - http://surgutnet.ru
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "забанить на время ip-адрес. SSH."
Сообщение от seller on 26-Сен-06, 12:18
>Привет всем. >Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить >ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут >ввода пароля,...) логина по ssh? >Спасиб. Bruteforceblocker работает с pf, а у меня ipfw. А переброска на другой порт для автоматических долбилок мало чем поможет, не так уж и трудно просканить порты и найти нужный. В общем, спасибо за подсказки, но у меня пока нет времени возиться с pf и ставить BFB, думал может как-нить проще можно было сделать... Жаль, что такой функционал не реализован в самом sshd, было бы весьма полезно... Хотя, переставлю sshd на другой порт, как временная мера...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "забанить на время ip-адрес. SSH."
	Сообщение от Ultimate on 26-Сен-06, 12:23
	>>Привет всем. >>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить >>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут >>ввода пароля,...) логина по ssh? >>Спасиб. > >Bruteforceblocker работает с pf, а у меня ipfw. >А переброска на другой порт для автоматических долбилок мало чем поможет, не >так уж и трудно просканить порты и найти нужный. >В общем, спасибо за подсказки, но у меня пока нет времени возиться >с pf и ставить BFB, думал может как-нить проще можно было >сделать... Жаль, что такой функционал не реализован в самом sshd, было >бы весьма полезно... >Хотя, переставлю sshd на другой порт, как временная мера... BruteBlock - работает с ipfw /usr/ports/security/bruteblock http://samm.kiev.ua/bruteblock/ DenyHosts - позволяет блокировать на определенный срок /usr/ports/security/denyhosts http://denyhosts.sourceforge.net/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "забанить на время ip-адрес. SSH."
	Сообщение от seller on 26-Сен-06, 12:55
	>BruteBlock - работает с ipfw >/usr/ports/security/bruteblock >http://samm.kiev.ua/bruteblock/ О, это уже ближе к теме... >DenyHosts - позволяет блокировать на определенный срок >/usr/ports/security/denyhosts >http://denyhosts.sourceforge.net/ Тоже поглядим... Спасибо за наводки.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "забанить на время ip-адрес. SSH."
	Сообщение от wawont (??) on 28-Сен-06, 12:46
	А тоже под iptables есть?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "забанить на время ip-адрес. SSH."
	Сообщение от Ultimate on 28-Сен-06, 13:10
	>А тоже под iptables есть? Используйте DenyHosts он работает на основе hosts.allow без ipfw, pf, iptables.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "забанить на время ip-адрес. SSH."
	Сообщение от Gennadi (??) on 29-Сен-06, 09:41
	>>А тоже под iptables есть? http://gennadi.dyn.ee/27.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

9. "забанить на время ip-адрес. SSH."
Сообщение от Hammer (ok) on 29-Сен-06, 11:20
>Привет всем. >Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить >ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут >ввода пароля,...) логина по ssh? >Спасиб. http://snort.org/dl/
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "забанить на время ip-адрес. SSH."
	Сообщение от Николай (??) on 14-Май-08, 18:08
	>>Привет всем. >>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить >>ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут >>ввода пароля,...) логина по ssh? >>Спасиб. > > >http://snort.org/dl/ на фрях в PF table <sshbr> permanent pass in quick proto tcp from any to ($ext_if) established pass in quick proto tcp from any to ($ext_if) port ssh keep state (max-src-conn 3, max-src-conn-rate 2/60, overload <sshbr> flush) block in quick proto tcp from <sshbr> to ($ext_if) port ssh probability 75% в линуксе IPTABLES iptables -A INPUT -m state --state ESTABLISHED,RECENT -j ACCEPT iptables -A INPUT -p tcp --dport ssh -m recent --set --name sshbr iptables -A INPUT -p tcp --dport ssh -m recent --update --name sshbr --seconds 60 --hitcount 2 -j DROP Не важно правильно или нет введен пароль, после 2 попыток вхождения в минуту и клиент дропается на 1 мин. Для веселой жизни можно не совсем дропать, а частично - у бота идут большие потери траффика, перебор зависает, у бота выход по таймауту не сразу, а через минут 15 судя по логам. PS. Писал по-памяти, не гарантирую 100% работоспособности листинга, если что уточните в мауале
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]