Блокировать IP с которого брутят

[drop]

Колупался в логах сервера (debian), нашел логи попыток входа, часто вижу один и тот же айпи, как блокировать доступ к серверу им?

зы. можно ли заставить дебиан ещё логировать непосредственно сами пароли котоыре вписывают? авось свою базу паролей для брута соберу

 

[Tele2]

ИМХО самый лучший способ сменить порт

 

[PHP_Master]

Колупался в логах сервера (debian), нашел логи попыток входа, часто вижу один и тот же айпи, как блокировать доступ к серверу им?

Фаервол по что?

 

[HOSTER]

Открываем файл mcedit /etc/ssh/sshd_config меняем порт с Port 22 например на Port 2222 после чего /etc/init.d/ssh restart и вуаля sshd на другом порте пашет, тестим ssh root@ххх.ххх.ххх.ххх -p 2222
ЗЫ: При выполнении /etc/init.d/ssh restart консоль НЕ ОТПАДАЕТ

 

[AccessForbidden]

Открываем файл mcedit /etc/ssh/sshd_config меняем порт с Port 22 например на Port 2222 после чего /etc/init.d/ssh restart и вуаля sshd на другом порте пашет, тестим ssh root@ххх.ххх.ххх.ххх -p 2222
ЗЫ: При выполнении /etc/init.d/ssh restart консоль НЕ ОТПАДАЕТ

Сколько надо времени чтобы узнать что он на другом порту?
Не вариант - гемороев больше станет чем радостей.
Во первых: смотреть в сторону fail2ban. Ввел 2 раза пароль - забанен айпи на какое то время.
Или вообще iptables и ограничивать вход по айпи.
Во вторых: Permit RootLogin поставить no, настроить sudo и создать юзера имя которого подобрать нереально, параметр AllowUsers в /etc/ssh/sshd_config (его по дефолту нету там) позволяет выставлять юзеров которые имеют право входить на сервер по ssh.
Если все кошерно сделаешь то долбись не долбись на 22 порт - не пролезешь.

 

[swer]

Собственно у меня так же было,ток я не через логи а через ПУ увидел,и что странно то что сайту и недели не было,а посешаемость 20-30 чел...это походу всякие новечки дебилоиды,ну собственно зашита может быт и через ПУ те прописать свой ип(если статичный) и все для др ип вход не возможен...

 

[CjGuSSa]

Через iptables или какой там фаер закрой доступ к 22 порту с определенных IP или закрой со всех и разреши с определенных или маску забей...

 

[barslg]

HOSTER прав - этот способ никогад не подводил
у меня после перевода ssh на нестандартный порт уже как 2 годика чистый auth.log

Если ты юзаешь сервер с постоянных известных тебе сетей то можешь внизу конфига ssh добавить

AlowUsers *@ip либоо AlowUsers username
можно добавлять и то и другое
например

AlowUsers *@192.168.0.5 *@171.12.45.* webadmin@192.168.* admin webuser

Ну а для пущей секурности поставь OpenVPN и ходи под ним

тогда

AlowUsers admin@10.0.8.* webadmin@10.0.8.*


Не забудь внести

PermitRootLogin no
ListenAddress IP.OF.YOUR.SERVER

причём IP.OF.YOUR.SERVER желательно выделять не главный а алиасный




Где-то видел, настройку для ограничения попыток аунтефикацци и бана ИП

 

[ask0n]

Если возникает необходимость заходить с непредвиденных хостов (например с ноута своего из инет кафе) можно закрыть 22й порт для всех и открывать его через knockd. Port knocking вообще рулит, последовательностью пакетов можно хоть принудительный слив инфы сделать незаметно (без захода на сервак), хоть потереть её всю, все зависит от вашей фантазии

 

[r00t]

Самый лучший вариант это fail2ban но если брутфорс поставлен на поток и возобновляется после бана то лучше iptables добавить правило

-A INPUT -s x.x.x.x/255.255.255.0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP

где x.x.x.x айпи с которого ты ходишь на сервак.