Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 29 marca 2024, 10:17

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 27 ]  Przejdź na stronę 1, 2  Następna
Autor Wiadomość
Post: sobota, 13 marca 2010, 22:10 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
Swego czasu, na forum pojawił się taki wątek "Banowanie ludkow łaczacych sie przez ssh".

W tym wątku kolega Czerwo zamieścił dwa skrypty, które u mnie wyglądają następująco:
: [/] [] ()
#!/bin/sh
# blokowanie ip przy atakach po ssh
# skrypt zapisz w /etc/ssh pod nazwa blokada 
# nadaj atrybut wykonywalnosci chmod 755 /etc/ssh/blokada
# sprawdzic atrybut i przynaleznosc pliku 'rwx r-- r-- nobody nograp'
#
if [ ! -r /etc/ssh/stare ]; then
touch /etc/ssh/stare
fi

for IP in `cat /var/log/auth | grep "Invalid user" | awk '{print $10}' | uniq` ;do
ile=`cat /var/log/auth | grep "Invalid user" | grep -w $IP | wc -l`
if [ $ile -gt 3 ]; then
echo $IP >> /etc/ssh/nowe
fi
done
if [ ! -r /etc/ssh/nowe ]; then
touch /etc/ssh/nowe
fi
for IP in `cat /etc/ssh/nowe` ;do
cat /etc/ssh/stare | grep -w $IP > /dev/null
let wynik=$?
if [ $wynik = 1 ]; then
iptables -I INPUT -s $IP -p tcp -j DROP
iptables -I FORWARD -s $IP -p tcp -j DROP
iptables -I INPUT -d $IP -p tcp -j DROP
iptables -I FORWARD -d $IP -p tcp -j DROP
echo $IP >> /etc/ssh/stare
fi
done
rm /etc/ssh/nowe
 

# do rc.local dopisac ponizsze ale odkratkowane

# ---------------w /etc/rc.d/rc.local--------
# or IP in `cat /etc/ssh/stare` ;do
# iptables -I INPUT -s $IP -p tcp -j DROP
# iptables -I FORWARD -s $IP -p tcp -j DROP
# iptables -I INPUT -d $IP -p tcp -j DROP
# iptables -I FORWARD -d $IP -p tcp -j DROP
# done
# ------------------------------------------


# do /var/spool/cron/root  dopisac ponizsze odkratkowane
# za pomoca polecenia crontab -e root

# ---------/var/spool/cron/root------------
# */5 * * * * /etc/ssh/blokada
# ----------------------------------------

# jezeli chcemy odblokowac jakies ip bo nam sie zablokowalo to :

# ----------------kod:---------------------
##!/bin/sh
# IP="81.1.110.199"
# iptables -I INPUT -s $IP -p tcp -j ACCEPT
# iptables -I FORWARD -s $IP -p tcp -j ACCEPT
# iptables -I INPUT -d $IP -p tcp -j ACCEPT
# iptables -I FORWARD -d $IP -p tcp -j ACCEPT 
# -----------------------------------------------

oraz skrypt:
: [/] [] ()
#!/bin/sh
# odblokowanie  ip po atakach po ssh 
# dla skryptu czerwa.
# Moze byc przydatne jezeli iptables dluzej nie jest restartowane i regulki
# moglyby sie bardzo rozrosnac....
# zapisac jako /etc/ssh/czysc_bany
# nadac atrybut wykonywalnosci chmod 755 /etc/ssh/czysc_bany
# sprawdzic atrybut i przynaleznosc pliku 'rwx r-- r-- nobody nogrup'
# do pliku /var/spool/cron/root/ dopisac
# poleceniem crontab -e root
# ------------------------------------------
# */* 6 * * * /etc/ssh/czysc_bany 
# ------------------------------------------
# odblokowywanie co 6 godzin
#
if [ -r /etc/ssh/stare ]; then
for IP in `cat /etc/ssh/stare` ;do
iptables -D INPUT -s $IP -p tcp -j DROP
iptables -D FORWARD -s $IP -p tcp -j DROP
iptables -D INPUT -d $IP -p tcp -j DROP
iptables -D FORWARD -d $IP -p tcp -j DROP
done
fi

Niestety w:
: [/] [] ()
/var/log/cron

Pojawiają się zapisy tego typu:
: [/] [] ()
13-Mar-2010 00:15  USER root pid 15716 cmd /etc/ssh/blokad
13-Mar-2010 00:19  failed user root parsing */* 5 * * * /etc/ssh/czysc_bany

a plik:
: [/] [] ()
/etc/ssh/stare

zawiera listę, jak się domyślam, adresów IP z pod których dokonywano próbę włamania do mnie po SSH.
Plik:
: [/] [] ()
/etc/ssh/nowe

się nie pojawia w katalogu.

Pytanie brzmi:
Dlaczego cron wywala taki komunikat, jak mniemam potwierdzający odmowę wykonania skryptu „czysc_bany” i co należy zrobić, żeby ten problem usunąć?
Pozdrawiam
J


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 13 marca 2010, 22:37 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Najpierw powiem tak, używanie bashowych skryptów w tym zastosowaniu nie ma dziś już logicznego uzasadnienia. Jest program fail2ban, który skutecznie zabezpieczy ssh i nie tylko (np jeszcze ftp, pocztę...). Zatem w tym układzie szkoda czasu na dalsze rozważania.
Zapewne jednak dla zasady wolisz wiedzieć na czym polega problem. Nie wiem jaki masz wpis do crona, ale:
: [/] [] ()
13-Mar-2010 00:19  failed user root parsing */* 5 * * * /etc/ssh/czysc_bany

Wskazuje, że chyba coś z tym wpisem masz nie tak. Albo z samym skryptem.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 13 marca 2010, 23:11 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
W cronie jest zrobiony wpis tak jak w skryptach czyli:
: [/] [] ()
# do /var/spool/cron/root  dopisac ponizsze odkratkowane
# za pomoca polecenia crontab -e root

# ---------/var/spool/cron/root------------
# */5 * * * * /etc/ssh/blokada
# ----------------------------------------

oraz:
: [/] [] ()
# ------------------------------------------
# */* 6 * * * /etc/ssh/czysc_bany 
# ------------------------------------------

I dokładnie w:
: [/] [] ()
/var/spool/cron

jest:
: [/] [] ()
*/5 * * * * /etc/ssh/blokada
# */* 6 * * * /etc/ssh/czysc_bany


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 13 marca 2010, 23:14 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
Przepraszam, pomyliłem się.
W
: [/] [] ()
/var/spool/cron

jest:
: [/] [] ()
*/5 * * * * /etc/ssh/blokada
# */* 6 * * * /etc/ssh/czysc_bany


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 13 marca 2010, 23:15 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
Kurde, zamiast 6 jest 5


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 13 marca 2010, 23:17 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
To drugie jest zahaszowane - nie będzie działać. Poza tym to drugie jakoś mi się nie podoba (*/*).

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 13 marca 2010, 23:21 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
I mata kupę racji w tym ustępie kolego, bo jest tak a mnie się po prostu pomerdało przy kopiuj wklej.

: [/] [] ()
*/5 * * * * /etc/ssh/blokada
*/* 6 * * * /etc/ssh/czysc_bany

W tym ważne jest to, że skrypt nie startuje, a ja nie wiem dlaczego.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 13 marca 2010, 23:50 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
Odpal z palca:
/etc/ssh/czysc_bany
zobacz czy działą

Co to ostatnio ludzie za stare rzeczy odgrzebują ;D

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 13 marca 2010, 23:57 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
Skrypt poszedł bez błędu, ale plik "nowe" się nie pojawił a w pliku "stare" jak są wpisy, tak są.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 02:31 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
ten zapis wydaje mi się mieć umiarkowany sens

*/* 6 * * * /etc/ssh/czysc_bany

(tak samo jak grzebanie w starych skryptach dla samego grzebania, ale każdy ma swoje rozrywki << Hint: pacman -S fail2ban ; /etc/rc.d/fail2ban start >> )

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 09:22 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
pacman -S fail2ban i co dalej, czy to już wszystko?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 11:23 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jeszcze /etc/rc.d/fial2ban start i dopisać do rc.conf w sekcji DAEMONS - o ile pamiętam to ochrona ssh jest już domyślnie włączona.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 11:37 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
No i mamy problem, bo w rc.conf w sekcji DAEMONS domyślnie jest: !fail2ban


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 12:48 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
to usuń ! i po sprawie

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 12:54 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Czasem instalator pakietu sam dopisuje* i stawia wykrzyknik. Wykrzyknik oznacza, że dana usługa się nie uruchamia. Usuniesz wykrzyknik, będzie się uruchamiać.

--
* Nie jestem w stanie wszystkiego spamiętać.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 13:16 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
OK,
zgoda co do "!". To jest napisane w:
: [/] [] ()
 /etc/rc.conf

w opisie sekcji DAEMONS, ale ciekawi mnie ile NND pracuje z zanistalowanym, a nie uruchomionym pakietem fail2ban!

A co do wątku z uruchamianie skryptu w cron'ie, to przypuszczam, że z jakiegoś powodu zapomniałem o wolnej linii na końcu:
: [/] [] ()
/var/spool/cron/root

pomimo, iż operacje robiłem za pomocą:
: [/] [] ()
 crontab -e /var/spool/cron/root
ale to już sprawdzę innym razem przy okazji treningu z cron'em. Wpierw muszę poczytać jak się obchodzić z cron'em.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 14:37 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Cytuj:
ale ciekawi mnie ile NND pracuje z zanistalowanym, a nie uruchomionym pakietem fail2ban

Żartujesz? Jak może działać nieuruchomiony program?

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 15:28 
Offline

Rejestracja: środa, 8 kwietnia 2009, 16:27
Posty: 77
Wystarczy rzucić stosowne hasło na forum i dowiemy się jaki jest procentowy udział modelu "niedouczonego gimnazjalisty" w społeczności NND.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 16:22 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
crontab -e sam dodaje wolną linię na końcu.

Uruchomiłeś ten program - przez /etc/rc.d/fail2ban start - a jeżeli nie, to powinieneś to zrobić.

Jestem też żywo zainteresowany do kogo kierujesz powyższy post.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 14 marca 2010, 17:06 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
jpglobal pisze:
No i mamy problem, bo w rc.conf w sekcji DAEMONS domyślnie jest: !fail2ban
Rzeczywiście problem nie do przejścia :twisted:
A poważnie: ten domyślny wykrzyknik jest dlatego, że to admin (czyli Ty) a nie pacman ma decydować, jakie usługi są włączane przy starcie systemu...

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 27 ]  Przejdź na stronę 1, 2  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 25 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl