LINUX.ORG.RU

Ответ на: комментарий от megabaks

у мну вот так
ListenAddress 0.0.0.0
MaxAuthTries 1
MaxSessions 10
PasswordAuthentication no
PermitEmptyPasswords no
PermitRootLogin no
Port 22
PrintLastLog no
PrintMotd no
Subsystem   sftp   /usr/lib/misc/sftp-server
UsePAM yes
не пускает

megabaks ★★★★ ()
Ответ на: комментарий от testuser123

шутник )))

ssh root@127.0.0.1
Password: 
Received disconnect from 127.0.0.1: 2: Too many authentication failures for root
ssh 127.0.0.1
Password: 
Last login: Sat May  1 12:19:25 UTC 2010 from localhost on pts/3

megabaks ★★★★ ()

Помнится мне что в debian все работало наоборот (для того чтобы запретить рута нужно было выставить PermitRootLogin yes).

edigaryev ★★★★★ ()
Ответ на: комментарий от testuser123

Поставть LogLevel debug


Поставил:

/etc/init.d/ssh restart


May 1 13:16:49 itc sshd[3237]: debug1: Bind to port 22 on ::.
May 1 13:16:49 itc sshd[3237]: error: Bind to port 22 on :: failed: Address already in use.
May 1 13:16:49 itc sshd[3237]: debug1: Bind to port 22 on 0.0.0.0.
May 1 13:16:49 itc sshd[3237]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
May 1 13:16:49 itc sshd[3237]: fatal: Cannot bind any address.

anton_jugatsu ★★★★ ()
Ответ на: комментарий от anton_jugatsu

по всей видимости, потуму что

May 1 13:16:49 itc sshd[3237]: debug1: Bind to port 22 on ::. May 1 13:16:49 itc sshd[3237]: error: Bind to port 22 on :: failed: Address already in use. May 1 13:16:49 itc sshd[3237]: debug1: Bind to port 22 on 0.0.0.0. May 1 13:16:49 itc sshd[3237]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use. May 1 13:16:49 itc sshd[3237]: fatal: Cannot bind any address.

anton_jugatsu ★★★★ ()
Ответ на: комментарий от anton_jugatsu

не - рута пока не пробуют ) а вот всякую фигню пробуют - типа

Apr 30 18:55:40 localhost sshd[1500]: Invalid user data from 72.46.126.20
Apr 30 20:20:47 localhost sshd[17303]: Invalid user desktop from 72.46.126.20
Apr 30 21:37:08 localhost sshd[14644]: Invalid user fluffy from 200.8.14.93
Apr 30 21:37:09 localhost sshd[14712]: Invalid user admin from 200.8.14.93
Apr 30 21:37:11 localhost sshd[14762]: Invalid user test from 200.8.14.93
Apr 30 21:37:13 localhost sshd[14815]: Invalid user guest from 200.8.14.93
Apr 30 21:37:15 localhost sshd[14895]: Invalid user webmaster from 200.8.14.93
Apr 30 21:37:18 localhost sshd[15013]: Invalid user oracle from 200.8.14.93
Apr 30 21:37:20 localhost sshd[15066]: Invalid user library from 200.8.14.93
Apr 30 21:37:22 localhost sshd[15134]: Invalid user info from 200.8.14.93
Apr 30 21:37:24 localhost sshd[15214]: Invalid user shell from 200.8.14.93
Apr 30 21:37:26 localhost sshd[15282]: Invalid user linux from 200.8.14.93
Apr 30 21:37:29 localhost sshd[15350]: Invalid user unix from 200.8.14.93
Apr 30 21:37:31 localhost sshd[15453]: Invalid user webadmin from 200.8.14.93
Apr 30 21:37:34 localhost sshd[15601]: Invalid user test from 200.8.14.93
Apr 30 21:37:39 localhost sshd[15737]: Invalid user admin from 200.8.14.93
Apr 30 21:37:40 localhost sshd[15819]: Invalid user guest from 200.8.14.93
Apr 30 21:37:42 localhost sshd[15871]: Invalid user master from 200.8.14.93
Apr 30 21:37:44 localhost sshd[15924]: Invalid user apache from 200.8.14.93
Apr 30 21:37:46 localhost sshd[15992]: Invalid user camera from 200.8.14.93
Apr 30 21:37:51 localhost sshd[16175]: Invalid user network from 200.8.14.93
Apr 30 21:37:52 localhost sshd[16243]: Invalid user word from 200.8.14.93
Apr 30 23:11:46 localhost sshd[17584]: Invalid user gopher from 72.46.126.20
^_^

megabaks ★★★★ ()
Ответ на: комментарий от megabaks

кстати, в тему, сегодня озаботился поиском какой-нибудь штукенции для анализа auth.log и нашёл вот что: http://webcache.googleusercontent.com/search?q=cache:http://www.tuxj0b.de/Scr...

классный скрипт, выдаёт сразу

IP: 85.XXX.XXX.XXX (DE)
Connects: 542
Authed connections: 0
Failed connections: 477
Failed users: testing,vincent,test,sales,tt,migrate,mike,user,nagios,portal,admin,apache,usuario,ts,jboss,postgres,cod,susan,murmur,bobcat,testuser,tester,css,basic,www,copier,student,gary,tv,upload,mythtv,ftpuser,michelle,phone,oracle,build,as

только сайт в дауне и с гугль-арчива только страничка, но никак не исходник этой программы на перле. Так вот, никто не знает ещё какие-нибудь инструменты? В инете много скриптов на баше пробегало, в принципе.

anton_jugatsu ★★★★ ()

Bind to port 22 on :: failed: Address already in use.

Следует, что sshd не рестартился, возможно, «старый» процесс по каким-то причинам не останавливался. В результате демон работал со старым конфигом и изменения в файле конфигурации ни на что не влияли. А killall -HUP sshd сработало как-раз на «старый» процесс.

Marmirus ★★ ()
Ответ на: комментарий от Marmirus

Спасибо. Оно и понятно, но вопрос был в том, что после /etc/init.d/ssh restart таки sshd перечитал конфиг на предмет Loglevel DEBUG, который я потом уже добавил, а вот относительно PermitRootLogin no вышла засада.

anton_jugatsu ★★★★ ()
Ответ на: комментарий от megabaks

> не - рута пока не пробуют )

Может так быть, что пробуют, но в лог пишется, только если юзер невалидный, либо если юзер и пароль сошлись и сессия открыта. А валидный юзер с неправильным паролем остаётся незамеченным :)

const86 ★★★★★ ()
Ответ на: комментарий от const86

не - коньки мне постоянно показывают кто на порту весит
да w никто не отменял :)

megabaks ★★★★ ()
Ответ на: комментарий от true_admin

>А как же могучие правила stateful-фаервола? :) типа там -m recent, -m set итп.

Мы ж с тобой когда-то давно на эту тему спорили. И я тебе говорил, что ядро пока не тянет на звание лучшей IDS/IPS. Портсканнеров забанить, простенькие сигнатуры перехватить — с этим netfilter неплохо справляется.
Но вот бан брутфорсеров имхо лучше производить именно на основании логов. Я уже приводил пример: когда нормальный юзер сидит по ssh через постоянно падающий жопорез, риск попасть в баню для него очень велик.

nnz ★★★★ ()
Ответ на: комментарий от anton_jugatsu

anton_jugatsu> но вопрос был в том, что после /etc/init.d/ssh restart таки sshd перечитал конфиг на предмет Loglevel DEBUG, который я потом уже добавил, а вот относительно PermitRootLogin no вышла засада.

Разве непонятно, что у тебя висели два sshd? один со старым конфигом, до которого /etc/init.d/ssh не мог достучаться, так как пользуется файлом /var/run/sshd.pid, в котором уже новый ПИД. А новый процесс прекрасно перечитал конфиг, но забиндиться на занятый 22 порт не смог. pkill -HUP sshd отправил сигнал всем sshd процессам и у тебя наступило счастье

sdio ★★★★★ ()
Ответ на: комментарий от anton_jugatsu

Кстати перевешивание sshd на нетрадиционный порт практически полностью убирает подбор. Мелочь, а приятно.

anonymous ()
Ответ на: комментарий от BSD

/me держит. Все равно подключение заблочено, а

# zgrep -c 'refused connect from' /var/log/auth.*
/var/log/auth.log:3
/var/log/auth.log.0:5
/var/log/auth.log.1.gz:8
/var/log/auth.log.2.gz:4
/var/log/auth.log.3.gz:11
/var/log/auth.log.4.gz:10
/var/log/auth.log.5.gz:6
/var/log/auth.log.6.gz:15

не напрягает.

YAR ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.