Защита SSH от перебора пароля с помощью blocksshd и iptables

>Очень надеюсь что вам пригодится эта статья, но не обещаю что всё будет именно так, как тут написано:)

посмиялсо.

MooSE, как занести ваш блог во френды, если у меня есть блог на одном из популярных блог-сервисов, поддерживающих OpenID? В случае чего - это тема для ещё одной статьи ;)

Наш выбор - denyhost

Помнится, в одной книге про хацкеров написано, что можно вообще запретить руту заходить через ссш. если нада права админа, то сначала заходишь под своим логином, а потом через су получаешь права админа.
Если все так просто, то зачем замарачиваться с этим блокссшд?!?!

+1

Функциональное, легкое в настройке, одобренное отцами из Redhat решение

> Помнится, в одной книге про хацкеров написано, что можно вообще запретить руту заходить через ссш. если нада права админа, то сначала заходишь под своим логином, а потом через су получаешь права админа. Если все так просто, то зачем замарачиваться с этим блокссшд?!?!

Так все и делают, и во вменяемых дистрах/системах это по умолчанию. А заморачиваться можно чтобы логи не засорялись, сервера не грузились и траффик не тек.

а почему такой опции прямо в ссшд не встроено?

И что только не делают люди лишь бы авторизацию по ключам не использовать.

Потомучто unix-way.

+1 ходи по ключам и никакой брутфорс не страшен :)

>Помнится, в одной книге про хацкеров написано, что можно вообще запретить руту заходить через ссш. если нада права админа, то сначала заходишь под своим логином, а потом через су получаешь права админа. Если все так просто, то зачем замарачиваться с этим блокссшд?!?!

а Вам не страшно выставлять "голый" ssh дажес запретом на рута? я понимаю, что необходимо еще знать логин непривелигерованного пользователя, но всеж...

ps если Вам так не жалко, дайте remoute shell, мне он не помешает =)

pps по теме гуглить iptables hitcount

> И что только не делают люди лишь бы авторизацию по ключам не использовать.

+ перевесить ssh на другой порт или поставить knockd, чтобы <censored> ботнеты в логи не гадили. А то сабж -- это какой-то изврат IMHO.

еще есть blockhosts.py

не, наш путь это BSD с pf:

pass  in   on $ext_if proto tcp from any to ($ext_if) \
    port ssh flags S/SA synproxy state \
        ( max-src-conn 100, max-src-conn-rate 5/5, overload <deny> flush global)

block in log on $ext_if inet from <deny>

и ни каких левых демонов

> MooSE, как занести ваш блог во френды, если у меня есть блог на одном из популярных блог-сервисов, поддерживающих OpenID? В случае чего - это тема для ещё одной статьи ;)

Хех.... Философский вопрос... Кто бы мне с реализацией OpenID помог:) У меня же всё самописное:)

http://malpaso.ru/lor-faq/#3.12

> MooSE, как занести ваш блог во френды, если у меня есть блог на одном из популярных блог-сервисов, поддерживающих OpenID? В случае чего - это тема для ещё одной статьи ;)

Кстати... А RSS интересно у тебя можно добавлять чтобы читать во френд-ленте?

Велосипед. Покажите автору Denyhosts

Ключи подойдут?

По моему так будет проще и без всяких скриптов:

$IPT -A INPUT -m recent --update --seconds 60 --hitcount 5 --name BAN_60 -m limit --limit 6/hour --limit-burst 1 -j ULOG --ulog-prefix "[ipt] banned 60 sec :"

$IPT -A INPUT -p tcp --dport $port -m state --state NEW -m recent --set --name BAN_60 -j ACCEPT

>Помнится, в одной книге про хацкеров написано, что можно вообще запретить руту заходить через ссш.

Это написано не в книге про хацкеров, а в man ssh. PermitRootLogin no. Брутфорсы всего лишь загрязняют логи и воруют трафик и мощности сервера.

Нужно есще добавить -j DROP в верхнее правило

>а Вам не страшно выставлять "голый" ssh дажес запретом на рута?

чет я не слыхал историй про то что ssh сломали

Что это за ситуация когда ssh нужно открывать на весь мир?

> Что это за ситуация когда ssh нужно открывать на весь мир?

У меня дома куча всяких интересных конфигов лежит. И когда я иду на шабашку я часто до конца не знаю чем придётся столкнуться и какие конфиги потребуются. И уж тем более я не знаю с какого IP я буду цепляться на свою машину.

Другой вариант - мой хостер предоставляет своим клиентам доступ по SSH. Понятно что он не будет ограничивать диапазон адресов, с которых можно подцепиться.

А вот тут через fail2ban написано как сделать

http://lug32.org.ru/mediawiki/index.php/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0_...

>У меня дома куча всяких интересных конфигов лежит. И когда я иду на шабашку я часто до конца не знаю чем придётся столкнуться и какие конфиги потребуются. И уж тем более я не знаю с какого IP я буду цепляться на свою машину.

>это можно решить открыв ssh на другом порту на ограниченное время. Другой вариант - мой хостер предоставляет своим клиентам доступ по SSH. Понятно что он не будет ограничивать диапазон адресов, с которых можно подцепиться.

вряд ли у хостера линуксовая или юниксовая машинка имеет прямой доступ в инет. скорее через циски.

iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 20 -j DROP

iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

Хм. А про fail2ban автор слышал? Или про denyhosts, который в отличии от прочих, умеет банить брутфорсеров превентивно. То есть хочет бутфорсер побрутфорсить ваш ssh впервые в жизни, ан фигу -- уже забанен.

а блин как из коммандировки то попадать на сервер? иптаблес решает

а зачем -j DROP ? для хацкеров тогда лучше -j TARPIT.

В sshd_config Port 59321 Protocol 2 PermitRootLogin no

Этого более чем достаточно. Параноики пусть выбирают пароль подлиннее и меняют его почаще. Для особых суперпараноиков есть iptables. Все эти кнокеры и блокеры. IMHO, лишнее.

Почти так, по синей педали неугадав три раза пароль, я потерял доступ ко всему что лежало на другом континенте.

> чтобы <censored> ботнеты в логи не гадили.

Для этого достаточно веревесить ssh на другой порт.

libpam-shield наше фсё

>Помнится, в одной книге про хацкеров написано, что можно вообще запретить руту заходить через ссш. если нада права админа, то сначала заходишь под своим логином, а потом через су получаешь права админа. Если все так просто, то зачем замарачиваться с этим блокссшд?!?!

потому-что зайдя под админом можно воспользоваться свежей уязвимостью и получить рута, либо воспользоваться невнимательностью администратора и подсмотреть шонеть секурное в конфигах.

смена порта от этого отлично помогает, жаль мигннайтовский шелл-линк по нестандартным портам не пашет :(

OpenBSD + PF

>чет я не слыхал историй про то что ssh сломали даже в матрице показывали

>чет я не слыхал историй про то что ssh сломали
даже в матрице показывали

> Почти так, по синей педали неугадав три раза пароль, я потерял доступ > ко всему что лежало на другом континенте.

А с другого IP зайти было не судьба?

>Так все и делают, и во вменяемых дистрах/системах это по умолчанию.

дебиан невменяемый дистр? там ссх после установки разрешает рутовый логин

вообще алгоритм распознавания брутфорса достаточно простой, я не знаю на столько хорошо iptables, что бы точно описать его в синтаксисе, но в двух словах:

1. дропаем всех из списка адресов ssh_blacklist.

2. добавляем адрес источника c connection_state=new на tcp порт 22 при условии, что адрес уже есть в списке адресов ssh_stage3 в список адресов ssh_blacklist на 10 дней.

3. добавляем адрес источника c connection_state=new на tcp порт 22 при условии, что адрес уже есть в списке адресов ssh_stage2 в список адресов ssh_stage3 на одну минуту.

4. добавляем адрес источника c connection_state=new на tcp порт 22 при условии, что адрес уже есть в списке адресов ssh_stage1 в список адресов ssh_stage2 на одну минуту.

5. добавляем адрес источника c connection_state=new на tcp порт 22 в список адресов ssh_stage1 на 1 минуту.

good old OpenBSD PF:
TCP="proto tcp"
MSF="modulate state"
SSA="flags S/SA"
table <sshlock> persist
pass in on $ext_if $TCP to $ext_if port ssh $SSA label SSH-Limit \
  $MSF (max-src-conn-rate 10/60, overload <sshlock> flush global)
block drop in log on $ext_if from <sshlock> to any label SSH-Lock

/etc/ssh/sshd_config

AllowUsers admin_name # имя администратора

PermitRootLogin no

Тоже изобретал велосипед как-то. На shell написал скрипт: по крону просматривал ip хостов кул-хацкеров и добавлял в iptables запрещающее правило, и при этом в другой файл скидывал комманды удаления этого же правила. На следующий день выполнял этот файл - очищал iptables. Но и это скорее лишнее: я не очень понимаю на что расчитывают переборщики. Там ни имя ни пароль не угадать никак. Это все равно что выстрелить вверх и попать в пятак во Владивостоке....

> Но и это скорее лишнее: я не очень понимаю на что расчитывают переборщики. Там ни имя ни пароль не угадать никак.

А тебе не приходило в голову, что раз это делается, значит, работает и срабатывает. Я сам лично брутфорсил свои машины для проверки и добвался успеха. У юзерины логин и пароль из 3-х букв и они совпадают. И это не редкость.

Чем лучше/хуже denyhosts?

PS: По ссылка не ходил.

Есть же средства от такого произвола пользователей.

а еще есть дурацкая привычка заводить тестовых юзеров test/test, и тд и тп

Предлагаю использовать защиту SSH от перебора пароля с помощью установки нормального пароля.