еще один споcоб блокировать ssh bruteforce роботов

0

0

вот правила iptables ( нужна поддержка recent match в ядре ): 

* * * * * * * * * * 
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set 
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP 
* * * * * * * * * * 

после 3 попыток поключиться в течение 60 секунд,
робот блокируется и отваливает :) и прочти нет мусора
в логах, а главное - лишнего траффика, в отличие от pam_abl.
по желанию можно увеличить параметры --hitcount и --seconds

Ссылка

←	Алгоритмы шифрования

Feds nix Check Point's Sourcefire bid

→

а, сцука! работает! сталю немедленно!

LowLevel ★
(23.03.06 16:10:09 MSK)

Ответ на: комментарий от LowLevel 23.03.06 16:10:09 MSK

ставлю

LowLevel ★
(23.03.06 16:10:51 MSK)

Ответ на: комментарий от LowLevel 23.03.06 16:10:51 MSK

огромное человеческое спасибо!!!

cyclon ★★★★★
(23.03.06 19:38:23 MSK)

Ссылка

А на какой период времени блокируется?

Если придут syn пакеты с адресом отправителя = адрес раутера твоего провайдера -- 22 порт заблокируется для _всех_

~~sdio~~ ★★★★★
(23.03.06 21:01:59 MSK)

Ответ на: комментарий от sdio 23.03.06 21:01:59 MSK

> А на какой период времени блокируется?

На 1 минуту.

> Если придут syn пакеты с адресом отправителя = адрес раутера твоего провайдера -- 22 порт заблокируется для _всех_

Как это для _всех_? Почему???

Смущает другое - 3 успешных логина в течение 1 минуты тоже приведут к блокировке :) Допустим скопировал я пару файлов через scp, а потом решил залогиниться по ssh. И всё, финиш :(

bigbit ★★★★★
(23.03.06 23:33:53 MSK)

Ответ на: комментарий от bigbit 23.03.06 23:33:53 MSK

>Как это для _всех_? Почему??? Попутал, звиняйте.

~~sdio~~ ★★★★★
(24.03.06 10:29:24 MSK)

Ссылка

Ответ на: комментарий от bigbit 23.03.06 23:33:53 MSK

>Смущает другое - 3 успешных логина в течение 1 минуты тоже приведут к блокировке :) Допустим скопировал я пару файлов через scp, а потом решил залогиниться по ssh. И всё, финиш :(

Ну оно, ведь, не навсегда блокирует, а только на минуту. Подожди мунутку и заходи снова :) Робот же, когда не получает ответа на несколько попыток соединения, просто отваливает и продолжает дальше сканировать просторы интернета... То есть фишка этих правил в том, чтобы сделать роботам жизнь невыносимой :)

Cosmicman ★★
(24.03.06 12:13:06 MSK) автор топика

Ссылка

> iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP

имхо TARPIT лучше будет

anonymous
(24.03.06 23:20:28 MSK)

Ссылка

А по моему проще повесить sshd на другой порт.... 2022 скажем....И роботы обламываются, и себе проблем не наживаешь.

Sargan ★
(27.03.06 01:23:08 MSD)

Ссылка

Спасибо за хороший совет! А то уже замучали роботы...

Qpwoe
(30.03.06 20:26:39 MSD)

Ссылка

а первую команду Iptables идеологически правильней наверное в таблице mangle делать?

mator ★★★★★
(31.03.06 13:49:18 MSD)

Ответ на: комментарий от mator 31.03.06 13:49:18 MSD

можно и так. также можно добавить к первой комманде -j ACCEPT :)

Cosmicman ★★
(31.03.06 14:38:16 MSD) автор топика

Ответ на: комментарий от Cosmicman 31.03.06 14:38:16 MSD

тфу блин, я стормозил :) -j ACCEPT не надо, а то слудующее правило работать не будет.

Cosmicman ★★
(31.03.06 16:10:55 MSD) автор топика

Ответ на: комментарий от Cosmicman 31.03.06 16:10:55 MSD

Может тогда еще и NOTRACK сделать в mangle? ;-)

saper ★★★★★
(31.03.06 17:20:59 MSD)

Ответ на: комментарий от saper 31.03.06 17:20:59 MSD

не понятно только зачем..ну зачем такой изврат? :)

Cosmicman ★★
(07.04.06 00:23:23 MSD) автор топика

Ответ на: комментарий от Cosmicman 07.04.06 00:23:23 MSD

Да я вот только что с сервера пришел выломанного в хлам, так с него столько порт-сканеров/подбирателей паролей запустили, что dmesg только про переполнение conntrack и говорит ;-)

saper ★★★★★
(09.04.06 03:47:22 MSD)