Блокировать IP с которого брутят

Тема в разделе "Администрирование серверов", создана пользователем drop, 21 июн 2009.

Статус темы:
Закрыта.
Модераторы: mefish, stooper
  1. drop

    drop

    Регистр.:
    1 янв 2007
    Сообщения:
    413
    Симпатии:
    190
    Колупался в логах сервера (debian), нашел логи попыток входа, часто вижу один и тот же айпи, как блокировать доступ к серверу им?

    зы. можно ли заставить дебиан ещё логировать непосредственно сами пароли котоыре вписывают? авось свою базу паролей для брута соберу :D
     
    Kon Dou нравится это.
  2. Tele2

    Tele2

    Регистр.:
    14 апр 2006
    Сообщения:
    784
    Симпатии:
    94
    ИМХО самый лучший способ сменить порт
     
  3. PHP_Master

    PHP_Master

    Регистр.:
    3 фев 2008
    Сообщения:
    2.647
    Симпатии:
    591
    Фаервол по что?
     
    drop нравится это.
  4. HOSTER

    HOSTER

    Регистр.:
    22 апр 2008
    Сообщения:
    213
    Симпатии:
    38
    Открываем файл mcedit /etc/ssh/sshd_config меняем порт с Port 22 например на Port 2222 после чего /etc/init.d/ssh restart и вуаля sshd на другом порте пашет, тестим ssh root@ххх.ххх.ххх.ххх -p 2222
    ЗЫ: При выполнении /etc/init.d/ssh restart консоль НЕ ОТПАДАЕТ
     
    drop нравится это.
  5. AccessForbidden

    AccessForbidden

    Регистр.:
    5 янв 2009
    Сообщения:
    324
    Симпатии:
    57
    Сколько надо времени чтобы узнать что он на другом порту?
    Не вариант - гемороев больше станет чем радостей.
    Во первых: смотреть в сторону fail2ban. Ввел 2 раза пароль - забанен айпи на какое то время.
    Или вообще iptables и ограничивать вход по айпи.
    Во вторых: Permit RootLogin поставить no, настроить sudo и создать юзера имя которого подобрать нереально, параметр AllowUsers в /etc/ssh/sshd_config (его по дефолту нету там) позволяет выставлять юзеров которые имеют право входить на сервер по ssh.
    Если все кошерно сделаешь то долбись не долбись на 22 порт - не пролезешь.
     
    drop нравится это.
  6. swer

    swer

    Регистр.:
    15 июн 2008
    Сообщения:
    305
    Симпатии:
    38
    Собственно у меня так же было,ток я не через логи а через ПУ увидел,и что странно то что сайту и недели не было,а посешаемость 20-30 чел...это походу всякие новечки дебилоиды,ну собственно зашита может быт и через ПУ те прописать свой ип(если статичный) и все для др ип вход не возможен...
     
  7. CjGuSSa

    CjGuSSa

    Регистр.:
    9 фев 2009
    Сообщения:
    196
    Симпатии:
    45
    Через iptables или какой там фаер закрой доступ к 22 порту с определенных IP или закрой со всех и разреши с определенных или маску забей...
     
  8. barslg

    barslg Постоялец

    Регистр.:
    17 ноя 2007
    Сообщения:
    52
    Симпатии:
    16
    HOSTER прав - этот способ никогад не подводил
    у меня после перевода ssh на нестандартный порт уже как 2 годика чистый auth.log

    Если ты юзаешь сервер с постоянных известных тебе сетей то можешь внизу конфига ssh добавить

    AlowUsers *@ip либоо AlowUsers username
    можно добавлять и то и другое
    например

    AlowUsers *@192.168.0.5 *@171.12.45.* webadmin@192.168.* admin webuser

    Ну а для пущей секурности поставь OpenVPN и ходи под ним

    тогда

    AlowUsers admin@10.0.8.* webadmin@10.0.8.*


    Не забудь внести

    PermitRootLogin no
    ListenAddress IP.OF.YOUR.SERVER

    причём IP.OF.YOUR.SERVER желательно выделять не главный а алиасный




    Где-то видел, настройку для ограничения попыток аунтефикацци и бана ИП
     
    drop нравится это.
  9. ask0n

    ask0n

    Регистр.:
    9 июн 2009
    Сообщения:
    227
    Симпатии:
    63
    Если возникает необходимость заходить с непредвиденных хостов (например с ноута своего из инет кафе) можно закрыть 22й порт для всех и открывать его через knockd. Port knocking вообще рулит, последовательностью пакетов можно хоть принудительный слив инфы сделать незаметно (без захода на сервак), хоть потереть её всю, все зависит от вашей фантазии :)
     
  10. r00t

    r00t

    Регистр.:
    30 июл 2006
    Сообщения:
    192
    Симпатии:
    65
    Самый лучший вариант это fail2ban но если брутфорс поставлен на поток и возобновляется после бана то лучше iptables добавить правило

    -A INPUT -s x.x.x.x/255.255.255.0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 22 -j DROP

    где x.x.x.x айпи с которого ты ходишь на сервак.
     
    ZeusF1 и drop нравится это.
Статус темы:
Закрыта.