Re: Можно делать таймаут при неуспешном SSH заходе?

From

Alex Ivanov (2:5020/400)

To

Cherepanov Leonid

Date

2005-06-02T11:44:02Z

Area

RU.UNIX.BSD

From: "Alex Ivanov" <orm@ridexgroup.ru>

Thu Jun 02 2005 10:12, Cherepanov Leonid wrote to Alex Ivanov:

>> CL> Не подскажете, как можно бороться с ежетрёхсекундным ломлением на 22-й
>> CL> порт с одного ip ?
>> CL> Адреса, с которых "атакуют", время от времени меняются. Запрещать на 
>> CL> уровне ipfw не хотелось бы.
>> CL> А хотелось бы просто блокировать на 10-20-30 сек. доступ с адреса, с 
>> CL> которого была неуспешная попытка зайти по SSH.
>> CL> Или есть другие рекомендации?
>> man sshd_config
>> Там вроде есть параметры, позволяющие похожие вещи делать.
>> Попробуй в сторону параметра MaxStartups покопать например...
CL> Это, к сожалению, не то. MaxStartups для совсем запущенных случаев, 
CL> когда к тебе ломятся десятками одновременно (кстати, как при этом 
CL> гарантировать свой заход?)
Ну тогда пробуй с ipfw2 и динамическими правилами.
Или скрипт пиши, который кушает security log и баннит вредные ip.
Токо учти, что если захотят положить DoSом, может прийти много setup пакетов
на  22й порт с поддельным адрессом отправителя. Так что этот скрипт может
боком вылезти... :)


CL> Я понял :) Мой случай - просто норма. Вот когда на сервер каждую секунду 
CL> будет приходить хотя бы 2-3 соединения, вот тогда ситуация требует 
CL> вмешательства :)))
CL> Нет, серьёзно, 1 соединение в 3 секунды - это ерунда, выходит?
Ну не особо. Наверно кто-то у кого есть бот-нет на пару сотен машин и он
заимел имя твоего логина и брутфорсит пароль. :)


>> Или вообще открыть 22й порт только для доверенных подсетей :)))
CL> Это не пойдёт. Хочется мочь туда попасть отовсюду.
Бывалые админы, работаюшие в агрессивной среде (типа хостинга например) иногда
делают так: есть один или два сервака, на которые можно зайти ото всюду, а на
остальные - только с них.
А в некоторых цисках например удаленное управление по умолчанию вообще
возможно только из подсетей, к которым они подсоедененны напрямую. :)


CL> Так что, нет нигде именно такого механизма? Вроде бы логин, если, 
CL> например, энтер держать на консоли, говорит, что слишком часто пытаются 
CL> ломиться на консоль и выпадает в паузу на 30 сек. Тут аналогичную вещь 
CL> хотелось бы. Никак?..
Наверно только путем ограничением количества соедениний с одного IP на 22й
порт с одной стороны (с помошью фаервола или inetd, вариант с inetd не
рекомендую, почему - писал в другом сообщении) и ограничение попыток в рамках
одного соеденения с другой стороны (через sshd_config)
Такой вариант устраивает?

--- ifmail v.2.15dev5.3
 * Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
SEEN-BY: 46/50 50/203 520 400/814 450/159 186 247 1024 451/30 461/43 132 640
SEEN-BY: 469/999 550/196 4616/3 4625/8 4627/10 4635/4 4652/15 5000/76 5000
SEEN-BY: 5006/1 5007/1 5010/70 5011/13 5015/10 5019/31 5020/52 118 154 175 194
SEEN-BY: 5020/400 545 549 604 715 758 830 937 1057 1523 1604 1630 1922 2020
SEEN-BY: 5020/2142 2238 2450 2590 4441 5021/29 5022/128 5025/3 750 5026/45
SEEN-BY: 5027/16 5029/32 5030/49 115 473 500 556 966 1063 1900 5031/70 72
SEEN-BY: 5034/13 5035/3 38 5036/1 34 5042/13 5049/1 50 97 5051/15 5054/1 4 8 9
SEEN-BY: 5054/28 35 36 37 63 66 67 70 75 81 84 85 5055/95 5057/1 5060/88
SEEN-BY: 5061/15 120 5062/1 10 5063/3 5066/18 5067/2 5069/7 5070/1222 5074/9
SEEN-BY: 5075/5 35 5079/23 5080/80 1003 5081/2 5082/6 5083/21 5085/13 5090/108
SEEN-BY: 5095/20 5096/18 6000/12 254 6001/3 10

PATH: 5020/400 4441 545 5054/1 37