denyhosts-2.6_7 Script to thwart ssh attacks

[Vilem Kebrt]

Ahoj,

Osobne mam v /etc/ssh/sshd_configu rulesety pro povolene uzivatele a 
prihlasuju se pouze klicem.

SSH mam na posunutem portu, ale to tolik nehraje roli, dnesni automaty 
to stejne najdou.

a fail2ban mi do tabulky v PF ktera se menuje <BadGuys> prida na zaklade 
nastaveni zaznam o ipcku.

no a druhe pravidlo v PF je:

block in log quick from <BadGuys> to any

A jednou za cas kdyz si vzpomenu tak ji promaznu (mam ji jako file).

Sice je to obcas otrava, neustale mi tam skacou servery mrkvosoftu 
(hlidam tim fail2banem i smtp/imap sluzby a napriklad office365 se 
chovaj jako hovado takze to prekroci detekcni hranice), ale nic neni 
dokonale :-). Tak si holt partak jednou za cas postezuje ze mu nechodej 
majly od zakazniku z off365, tak to promaznu a zas je chvili klid :-D.

Vilem


On 17. 01. 19 16:11, Tomáš Drgoň wrote:
>
> Ahoj,
> aj denyhosts je skript v pythone a ostane bezat pod rootom /co sa mi 
> moc napaci/.
>
> Podla vsetkeho dokaze zosynchronizovat data medzi servermi.
> Potom uz len staci, aby iny program na danom serveri spracoval 
> /etc/hosts.deniedssh (tu su aktualne zakazane IP, mozu aj expirovat ) 
> a aktualizoval ipfw.
>
> S fail2ban blokujes aj ine sluzby ?  A len pomocou /etc/hosts.allow ?
>
> S pozdravom
> Tomáš Drgoň
>
> On 17. 1. 2019 13:48, Ivo Hazmuk wrote:
>> Ahoj,
>>
>> On 01/17/19 13:23, Dan Lukes wrote:
>>> Tomáš Drgoň wrote on 17. 1. 2019 11:13:
>>>> co pouzivate na blokovanie utokov na SSH ?
>>
>> používám fail2ban. Je to velký lachtan v Pythonu. Leccos je tam 
>> nachystané (SSH, Sendmail, ...). Musel jsem vyřešit, jak použít ipfw. 
>> To nebylo nachystané. Ale teď mi stačí udělat 'pkg add fail2ban', 
>> nakopírovat 2 vlastní konfigurační soubory a upravit 
>> /etc/rc.conf.local a je téměř hotovo.
>>
>> I.
>>
>>>
>>> Ja pouzivam pam_af - do roku 2012 byl v portech, pak z nich vypadl 
>>> protoze se nenasel maintainer. Ale je stale funkcni.
>>>
>>> V pripade zajmu muzu poskytnout, vcetne puvodniho 
>>> "/usr/ports/security/pam_af" adresare, takze s tim jde pracovat jako 
>>> se standardnim FreeBSD portem.
>>>
>>> Je to PAM modul, to znamena, ze neresi jen SSH, ale cokoliv co pri 
>>> prihlasovani pouziva PAM framework.
>>>
>>> Jinak je to ale pomerne primitivni nastroj - podle IP, ze ktere 
>>> pokus o autentizaci prichazi se vybere pravidlo (to abys, napriklad, 
>>> mohl byt vuci zamestnancum z vnitrni site tolerantnejsi ne vuci 
>>> externim klientum), a pravidlo rika, kolik neuspesnych pokusu za 
>>> stanoveny cas muze z konkretni zdrojove IP prijit. Pokud pocet 
>>> stanovenou mez presahne, je prihlaseni z teto IP na stanovenou dobu 
>>> zablokovano.
>>>
>>> Obvykle dovoluju sedm pokusu za pet minut, ale lze byt jak podstatne 
>>> prisnejsi, tak benevolentnejsi
>>>
>>> Nevyhodou je, ze modu neblokuje moznost spojeni na dany server - jen 
>>> moznost prihlaseni. Porad je mozny DoS utok (pri kterem se do faze 
>>> prihlasevani nemusi ani dojit). Na druhou stranu, prakticky se s 
>>> temihle utoky moc nepotkavam - typicky utocnik chce najit heslo a 
>>> chce mit klid a dostatek casu an jeho hledani, proto to vetsinou 
>>> zkousi tak aby sever nepretizil a tim na sebe neupozorni.
>>>
>>> Kdesi hluboko v TODO listu mam, ze bych si ho upravil, aby se 
>>> informace o neuspesnych pokusech o prihlaseni daly ukladat z vice 
>>> chranenych serveru do jedne databaze a tak by pokusy o utocnika na 
>>> jednom serveru vedly k zablokovani dane IP na vsech, ale je to v 
>>> TODO listu opravdu hodne hluboko a tak, prestoze je to uprava spis 
>>> jednouducha to na brzkou implementaci moc nevypada ...
>>>
>>> Dan
>>