denyhosts-2.6_7 Script to thwart ssh attacks

Tomáš Drgoň tomas.drgon at truni.sk
Thu Jan 17 16:11:17 CET 2019

Previous message (by thread): denyhosts-2.6_7 Script to thwart ssh attacks
Next message (by thread): denyhosts-2.6_7 Script to thwart ssh attacks
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ahoj,
aj denyhosts je skript v pythone a ostane bezat pod rootom /co sa mi moc 
napaci/.

Podla vsetkeho dokaze zosynchronizovat data medzi servermi.
Potom uz len staci, aby iny program na danom serveri spracoval 
/etc/hosts.deniedssh (tu su aktualne zakazane IP, mozu aj expirovat ) a 
aktualizoval ipfw.

S fail2ban blokujes aj ine sluzby ?  A len pomocou /etc/hosts.allow ?

S pozdravom
Tomáš Drgoň

On 17. 1. 2019 13:48, Ivo Hazmuk wrote:
> Ahoj,
>
> On 01/17/19 13:23, Dan Lukes wrote:
>> Tomáš Drgoň wrote on 17. 1. 2019 11:13:
>>> co pouzivate na blokovanie utokov na SSH ?
>
> používám fail2ban. Je to velký lachtan v Pythonu. Leccos je tam 
> nachystané (SSH, Sendmail, ...). Musel jsem vyřešit, jak použít ipfw. 
> To nebylo nachystané. Ale teď mi stačí udělat 'pkg add fail2ban', 
> nakopírovat 2 vlastní konfigurační soubory a upravit 
> /etc/rc.conf.local a je téměř hotovo.
>
> I.
>
>>
>> Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl 
>> protoze se nenasel maintainer. Ale je stale funkcni.
>>
>> V pripade zajmu muzu poskytnout, vcetne puvodniho 
>> "/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako 
>> se standardnim FreeBSD portem.
>>
>> Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri 
>> prihlasovani pouziva PAM framework.
>>
>> Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere pokus 
>> o autentizaci prichazi se vybere pravidlo (to abys, napriklad, mohl 
>> byt vuci zamestnancum z vnitrni site tolerantnejsi ne vuci externim 
>> klientum), a pravidlo rika, kolik neuspesnych pokusu za stanoveny cas 
>> muze z konkretni zdrojove IP prijit. Pokud pocet stanovenou mez 
>> presahne, je prihlaseni z teto IP na stanovenou dobu zablokovano.
>>
>> Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne 
>> prisnejsi, tak benevolentnejsi
>>
>> Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen 
>> moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze 
>> prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s 
>> temihle utoky moc nepotkavam - typicky utocnik chce najit heslo a 
>> chce mit klid a dostatek casu an jeho hledani, proto to vetsinou 
>> zkousi tak aby sever nepretizil a tim na sebe neupozorni.
>>
>> Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se 
>> informace o neuspesnych pokusech o prihlaseni daly ukladat z vice 
>> chranenych serveru do jedne databaze a tak by pokusy o utocnika na 
>> jednom serveru vedly k zablokovani dane IP na vsech, ale je to v TODO 
>> listu opravdu hodne hluboko a tak, prestoze je to uprava spis 
>> jednouducha to na brzkou implementaci moc nevypada ...
>>
>> Dan
>

Previous message (by thread): denyhosts-2.6_7 Script to thwart ssh attacks
Next message (by thread): denyhosts-2.6_7 Script to thwart ssh attacks
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list