PermitRootLogin no всё равно пускает рута

всмысле? сразу или после логина юзером?

сразу, конечно

ssh <ip-адрес> -l root

а с UsePAM yes ?

да

тогда хз (

у мну вот так
ListenAddress 0.0.0.0
MaxAuthTries 1
MaxSessions 10
PasswordAuthentication no
PermitEmptyPasswords no
PermitRootLogin no
Port 22
PrintLastLog no
PrintMotd no
Subsystem   sftp   /usr/lib/misc/sftp-server
UsePAM yes
не пускает

дефолтный конфиг же

http://pastebin.com/LSQxv6GQ

так тачка десктоп - мне и этого за глаза

я про свой :) ссылка выше

Permit - разрешить =) поставь yes.

шутник )))

ssh root@127.0.0.1
Password: 
Received disconnect from 127.0.0.1: 2: Too many authentication failures for root
ssh 127.0.0.1
Password: 
Last login: Sat May  1 12:19:25 UTC 2010 from localhost on pts/3

Помнится мне что в debian все работало наоборот (для того чтобы запретить рута нужно было выставить PermitRootLogin yes).

pkill -HUP sshd
Не забыл? Поставть LogLevel debug
И посмотри что в них.

а разве «service ssh restart» в debian lenny работает?

и что там должно быть?

/etc/init.d/sshd restart

на другом дебиановском серваке всё работает.

Неправда

Поставть LogLevel debug

Поставил:

/etc/init.d/ssh restart


May 1 13:16:49 itc sshd[3237]: debug1: Bind to port 22 on ::.
May 1 13:16:49 itc sshd[3237]: error: Bind to port 22 on :: failed: Address already in use.
May 1 13:16:49 itc sshd[3237]: debug1: Bind to port 22 on 0.0.0.0.
May 1 13:16:49 itc sshd[3237]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
May 1 13:16:49 itc sshd[3237]: fatal: Cannot bind any address.

>ssh <ip-адрес> -l root

А вот так?

ssh -l root <ip-адрес>

в пакете chkconfig

и так, разумеется, делал.

так тоже.

> pkill -HUP sshd

ура сработало! спасибо! почему только не после /etc/init.d/ssh restart

по всей видимости, потуму что

May 1 13:16:49 itc sshd[3237]: debug1: Bind to port 22 on ::. May 1 13:16:49 itc sshd[3237]: error: Bind to port 22 on :: failed: Address already in use. May 1 13:16:49 itc sshd[3237]: debug1: Bind to port 22 on 0.0.0.0. May 1 13:16:49 itc sshd[3237]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use. May 1 13:16:49 itc sshd[3237]: fatal: Cannot bind any address.

Блин, мне страшно, надо бы у себя проверить.

проверь - проверь, а то кита* хитрые - постоянно подбирают что-то - задолбалзя делать «ЗОБАНЮ» )

за апрель 122000 попытки подбора root

не - рута пока не пробуют ) а вот всякую фигню пробуют - типа

Apr 30 18:55:40 localhost sshd[1500]: Invalid user data from 72.46.126.20
Apr 30 20:20:47 localhost sshd[17303]: Invalid user desktop from 72.46.126.20
Apr 30 21:37:08 localhost sshd[14644]: Invalid user fluffy from 200.8.14.93
Apr 30 21:37:09 localhost sshd[14712]: Invalid user admin from 200.8.14.93
Apr 30 21:37:11 localhost sshd[14762]: Invalid user test from 200.8.14.93
Apr 30 21:37:13 localhost sshd[14815]: Invalid user guest from 200.8.14.93
Apr 30 21:37:15 localhost sshd[14895]: Invalid user webmaster from 200.8.14.93
Apr 30 21:37:18 localhost sshd[15013]: Invalid user oracle from 200.8.14.93
Apr 30 21:37:20 localhost sshd[15066]: Invalid user library from 200.8.14.93
Apr 30 21:37:22 localhost sshd[15134]: Invalid user info from 200.8.14.93
Apr 30 21:37:24 localhost sshd[15214]: Invalid user shell from 200.8.14.93
Apr 30 21:37:26 localhost sshd[15282]: Invalid user linux from 200.8.14.93
Apr 30 21:37:29 localhost sshd[15350]: Invalid user unix from 200.8.14.93
Apr 30 21:37:31 localhost sshd[15453]: Invalid user webadmin from 200.8.14.93
Apr 30 21:37:34 localhost sshd[15601]: Invalid user test from 200.8.14.93
Apr 30 21:37:39 localhost sshd[15737]: Invalid user admin from 200.8.14.93
Apr 30 21:37:40 localhost sshd[15819]: Invalid user guest from 200.8.14.93
Apr 30 21:37:42 localhost sshd[15871]: Invalid user master from 200.8.14.93
Apr 30 21:37:44 localhost sshd[15924]: Invalid user apache from 200.8.14.93
Apr 30 21:37:46 localhost sshd[15992]: Invalid user camera from 200.8.14.93
Apr 30 21:37:51 localhost sshd[16175]: Invalid user network from 200.8.14.93
Apr 30 21:37:52 localhost sshd[16243]: Invalid user word from 200.8.14.93
Apr 30 23:11:46 localhost sshd[17584]: Invalid user gopher from 72.46.126.20

кстати, в тему, сегодня озаботился поиском какой-нибудь штукенции для анализа auth.log и нашёл вот что: http://webcache.googleusercontent.com/search?q=cache:http://www.tuxj0b.de/Scr...

классный скрипт, выдаёт сразу

IP: 85.XXX.XXX.XXX (DE)
Connects: 542
Authed connections: 0
Failed connections: 477
Failed users: testing,vincent,test,sales,tt,migrate,mike,user,nagios,portal,admin,apache,usuario,ts,jboss,postgres,cod,susan,murmur,bobcat,testuser,tester,css,basic,www,copier,student,gary,tv,upload,mythtv,ftpuser,michelle,phone,oracle,build,as

только сайт в дауне и с гугль-арчива только страничка, но никак не исходник этой программы на перле. Так вот, никто не знает ещё какие-нибудь инструменты? В инете много скриптов на баше пробегало, в принципе.

Не, все в поряде, рута не пускають, FreeBSD 8.0-p2.

Ок, значит я что-то перепутал.

Bind to port 22 on :: failed: Address already in use.

Следует, что sshd не рестартился, возможно, «старый» процесс по каким-то причинам не останавливался. В результате демон работал со старым конфигом и изменения в файле конфигурации ни на что не влияли. А killall -HUP sshd сработало как-раз на «старый» процесс.

Спасибо. Оно и понятно, но вопрос был в том, что после /etc/init.d/ssh restart таки sshd перечитал конфиг на предмет Loglevel DEBUG, который я потом уже добавил, а вот относительно PermitRootLogin no вышла засада.

> не - рута пока не пробуют )

Может так быть, что пробуют, но в лог пишется, только если юзер невалидный, либо если юзер и пароль сошлись и сессия открыта. А валидный юзер с неправильным паролем остаётся незамеченным :)

knockd решает вдоль и поперек =)

Еще fail2ban тоже неплохо :)

А как же могучие правила stateful-фаервола? :) типа там -m recent, -m set итп.

не - коньки мне постоянно показывают кто на порту весит
да w никто не отменял :)

да и ломившегося рута тоже в логи пишет :)

>А как же могучие правила stateful-фаервола? :) типа там -m recent, -m set итп.

Мы ж с тобой когда-то давно на эту тему спорили. И я тебе говорил, что ядро пока не тянет на звание лучшей IDS/IPS. Портсканнеров забанить, простенькие сигнатуры перехватить — с этим netfilter неплохо справляется.
Но вот бан брутфорсеров имхо лучше производить именно на основании логов. Я уже приводил пример: когда нормальный юзер сидит по ssh через постоянно падающий жопорез, риск попасть в баню для него очень велик.

перенесите уже ссш на 10000+ порт

anton_jugatsu> но вопрос был в том, что после /etc/init.d/ssh restart таки sshd перечитал конфиг на предмет Loglevel DEBUG, который я потом уже добавил, а вот относительно PermitRootLogin no вышла засада.

Разве непонятно, что у тебя висели два sshd? один со старым конфигом, до которого /etc/init.d/ssh не мог достучаться, так как пользуется файлом /var/run/sshd.pid, в котором уже новый ПИД. А новый процесс прекрасно перечитал конфиг, но забиндиться на занятый 22 порт не смог. pkill -HUP sshd отправил сигнал всем sshd процессам и у тебя наступило счастье

Спасибо за разъяснение.

Кстати перевешивание sshd на нетрадиционный порт практически полностью убирает подбор. Мелочь, а приятно.

А его кто-то еще держит на традиционном порту? :) У меня 8081 :)

а ип где? ;)

Щас :)

/me держит. Все равно подключение заблочено, а

# zgrep -c 'refused connect from' /var/log/auth.*
/var/log/auth.log:3
/var/log/auth.log.0:5
/var/log/auth.log.1.gz:8
/var/log/auth.log.2.gz:4
/var/log/auth.log.3.gz:11
/var/log/auth.log.4.gz:10
/var/log/auth.log.5.gz:6
/var/log/auth.log.6.gz:15

не напрягает.

Удоли!