sshguard: защита для OpenSSH

>когда то задался этим вопросом и нашёл на этом же форуме вот такой пример:

>iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --set >iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 4 -j DROP

>даёт 3 попытки. на 4-ую блокирует на 60 секунд. обычно боты после этого идут дальше.

А у меня iptables ругаются: BAD argument '4' Можно поподробнее... Я не сильно в iptables разбираюсь... Вопрос очень важный.

думаю тут будет уместны все меры.

1) перенос на другой порт 2) fail2ban (в отличий от denyhost имеет большую функциональность) 3) pubkey

R_Engel

А что самому если написать самому пару элементарных скраптов7

http://gennadi.dyn.ee/27.html

не надо тут писать, лучше идите писать альтернативное ядро...

>Когда пароли _в принципе_ не передаются по сети, их подобрать невозможно вообще никак, а достаточно длинный пароль подобрать таки можно.

Если очень длинный пароль можно подобрать, то и ~/.ssh/id_rsa тоже.

-p tcp -m state --state NEW --dport 22 -m recent --update --seconds 20 -j DROP -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

>и вам шалом, уважаемый. >про inetd вы сказали глупость. denyhosts прекрасно работает на >standalone запущенном sshd. >ещё возражения?

гы, круто, а не просветит ли великий анонимус о принципе действия denyhosts? Я то глупый всю жизнь думал, что именно inetd запрещает ходиь по запрещённым хостам сервисам запущенным в нём... а тут стендэлон ссш хавает денайхостс... чудеса, да и только....

ну да, согласен.. хаченный может хавать... но по мне так чем хачить, лучше через супердемона запустить...

> iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --set iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcou nt 4 -j DROP

Был бы я модератором, дал бы тебе звезду. Огромное спасибо.

> А у меня iptables ругаются: BAD argument '4' Можно поподробнее... Я не сильно в iptables разбираюсь... Вопрос очень важный.


Строчку просто так не скопируешь. Там ошибка, вызванная форматирование ЛОРа. Надо так (--hitcount - пишется одним словом):

iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 4 -j DROP

> а еще лучше сгенерировать ssh-key и у пользователя поставить пароль *.

И как это спасёт от накручивания трафика на попытках ? Долбиться-то они всё равно будут...

>не надо тут писать, лучше идите писать альтернативное ядро...

скриптик написаный на коленке выполняет задачу "sshguard"

попробуй:

ssh gennadi.dyn.ee

и идите писать альтернативнsый линукс-дистр...

>Строчку просто так не скопируешь. Там ошибка, вызванная форматирование ЛОРа.

никак привыкнуть немогу :(

правильно так 1) man iptables 2) su

)) а так скажите спасибо что вам не предложили copy-paste # rm -rf /

век живи - век учись, собранный с поддержкой tcpd sshd сам выступает в роли tcpd без всякого участия inetd

ldd /usr/sbin/sshd linux-gate.so.1 => (0xffffe000) libwrap.so.0 => /lib/libwrap.so.0 (0xb7ef0000)

слово libwrap ничего не говорит?

Ключик на флешке или на ноуте можно вместе с PuTTY таскать.

Про PuTTY - это я так сказал, к примеру ))

> слово libwrap ничего не говорит?

Может быть он использует tcpwrappers? А причём здесь tcpd?

казуистика - причем тут тогда inetd

Сегодня кстати вышла новая версия ssh, в ней уже можно задавать ограничение по ip, модет скоро и не надо будет использовать tcp wrapper, или tcpguard для блокировок, а делать все на уровне самого ssh

> Если очень длинный пароль можно подобрать, то и ~/.ssh/id_rsa тоже.

Длинный пароль -- это сколько? 20 символов? 30? А RSA ключ -- 2K по умолчанию,
и никто его не мешает сделать больше...