LINUX.ORG.RU

Кто-то хочет подобрать пароль. Как с этим бороться?


0

0
Последние два дня в логах я читаю следующее:

Jan 24 16:46:12 apple sshd[7002]: Failed password for invalid user apple from 83.17.250.238 port 58648 ssh2 Jan 24 16:46:14 apple sshd[7007]: Failed password for root from 83.17.250.238 port 58935 ssh2 Jan 24 16:46:16 apple sshd[7012]: Invalid user brian from 83.17.250.238 Jan 24 16:46:16 apple sshd[7012]: error: Could not get shadow information for NOUSER

Я так понял, кто-то пытается подобрать пароль на SSH. Как настроить систему, чтобы ip-адрес того, кто делает слишком много попыток входа, банился?


Ответ на: комментарий от ivlad
Крутая штука :-) Только я никак не могу разобраться. Запускаешь make install, копируешь конфиг pam_abl.conf в /etc/security/ А что делать дальше?
Rendal
() автор топика
У меня подобные логи были до 1MB в сутки. А с какими логинами ломились - вообще песня, имена всех наций и народностей. Сделал тупо - изменил порт sshd с 22 на фонарный. Теперь чистота ...
anonymous
()
Ответ на: комментарий от Rendal
> А что делать дальше?

дальше - включить модуль в цепочку аутентификации для ssh:

auth required /lib/security/pam_abl.so config=/etc/security/pam_abl.conf

в документации написано.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad
Я это прочитал, но я сегодня туго соображаю :-( Там есть файл system_auth в папке conf, где есть в том числе и эта строчка, а в документации написано несколько подобных строк. В какой файл надо это вписать?
Rendal
() автор топика
Перемести sshd с 22 на другой порт и/или закрой файрволом и пускай только избранных.
Deleted
()
Ответ на: комментарий от Deleted
Но ведь нехороший человек может вычислить на каком порте висит ssh. А пускать только избранных не получится, потому что хотелось бы оставить возможность иногда подключаться из дома, а там получается динамический ip
Rendal
() автор топика
Ответ на: комментарий от Rendal
> Я это прочитал, но я сегодня туго соображаю :-(

читай до просветления :)

> Там есть файл system_auth в папке conf, где есть в том числе и эта строчка, а в документации написано несколько подобных строк. В какой файл надо это вписать?

в тот файл, что бы это попало в стек аутентификации ssh. если system_auth попадает, то вписать в него.

ivlad ★★★★★
()
Ответ на: комментарий от Rendal
Нехорошие люди/программы обычно не тратят лишнее время и не обнаружив ssh на 22 отваливают. Интернет большой...

anonymous
()
Пропиши такое и уменьшиш себе трафик -A INPUT -p tcp -m tcp --dport 22 -i eth2 -m state --state NEW -m hashlimit --hashlimit 24/m --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 360000 -j ACCEPT

anonymous
()
Ответ на: комментарий от anonymous
Если я все правильно понял, то надо прописать строчку auth required /lib/security/pam_abl.so config=/etc/security/pam_abl.conf в файл /etc/pam.d/system_auth и все заработает. Верно?
Rendal
() автор топика
Ответ на: комментарий от Rendal
Это строчка из моего IPtables (etc/syscofig) или просто пропиши эту строчку в башфайле и запускай при старте
anonymous
()
Ответ на: комментарий от anonymous
А еще в /etc/cron.hourly можно скрипт закинуть:

#!/bin/bash
grep -v ssh /var/log/messages >/tmp/msgs
mv /tmp/msgs /var/log/messages

А если не поможет, то еще в папку /etc/cron.weekly

#!/dev/hands
drink iad
zhuk
()
Ответ на: комментарий от Valmont
можно еще модуль limit использовать. логи чистейшие. хотя recent по моему мнению предпочтительней.
BigKAA
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.