Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Prośba o skrypt banujący przy probie zalogowania na root
http://forum.freesco.pl/viewtopic.php?f=28&t=17323		 Strona 1 z 1
Autor:  Zulowski [ wtorek, 25 listopada 2008, 00:50 ]
Tytuł:  Prośba o skrypt banujący przy probie zalogowania na root
Witam,
Był kiedys na waszym forum skrypt, nie pamietam czyjego autorstwa, który o ile dobrze kojarzę, banował ip po 3 nieudanych próbach logowania przez ssh.
Przewertowałem ile mogłem, ale niestety go nie znalazłem.
Jako, że kiedys na debianie mialem udostępnione logowanie bezpośrednio na roota z poza lokalnej sieci lan, i boty spenetrowały mi server, musiałem go stawiać od nowa, teraz juz zablokowałem oczywiście możliwość logowania bezpośrednio na root, ... koniec moich wywodów :P...
Chciałbym aby ktoś z was, kto może pamieta w którym wątku pojawił się ten skrypt, dał mi do niego dostęp :)
Chętnie pobanuje te boty próbujące się nadal logować na ssh.
Autor:  Maciek [ wtorek, 25 listopada 2008, 00:59 ]
Tytuł: 
Jeśli atak bota się udał, to miałeś ładne słownikowe hasło na roota ;)
A do blokowania botów w nnd używamy fail2ban.
Autor:  -MW- [ wtorek, 25 listopada 2008, 01:18 ]
Tytuł: 
faq
Cytuj:
48. Zauważyłem, że w logach mam dużo informacji, o nieudanych próbach zalogowania się. Ktoś się próbuje do mnie włamać?
Najprawdopodobniej jakiś automat. Rozwiązań jest kilka: całkowite zablokowanie dostępu do ssh z zewnątrz, zmiana portu, na którym działa ssh, albo skrypt Czerwa: http://forum.freesco.pl/viewtopic.php?t=10841 (najlepiej stosować w połączeniu ze zmianą portu)
Autor:  Zulowski [ wtorek, 25 listopada 2008, 02:04 ]
Tytuł: 
@Maciek - tak, było słownikowe, już nie jest, i nigdy nie będzie.
@MW - dokładnie o to mi chodziło, pamiętałem, że widziałem to gdzies tu w 2007 roku ;)
Za czasów chyba NND 0.2.0 albo jakos tak.
Dzięki!
Autor:  zciech [ wtorek, 25 listopada 2008, 11:49 ]
Tytuł: 
Nie jest potrzebny żaden skrypt.
Należy zablokować od strony internetu wszystkie adresy i usługi nie udostępniane dla wszystkich (w rc.conf SSH=0 czy jakos tak)
a odblokować tylko te adresy z których się łączysz - opisywałem to na forum nawet dla przypadku zmiennego (dynamicznego) IP

Wtedy dla bootów twój serwer nie istnieje.
Autor:  Zulowski [ wtorek, 25 listopada 2008, 16:53 ]
Tytuł: 
W tym problem, że łączę się z różnych IP w sumie ;)
Zależy gdzie na uczelni się znajdę, i czy najdzie mnie ochota na zrobienie czego kolwiek
Serwer dużej odpowiedzialności nie ma, tylko taki domowy host na 5 komputerów.

Tamto rozwiązanie z banowaniem mi się podoba, i juz wdrożyłem ;)
Pozdrawiam.
Autor:  Maciek [ wtorek, 25 listopada 2008, 17:22 ]
Tytuł: 
Podpowiem coś jeszcze. doskonałym rozwiązaniem wg wielu adminów jest knockd. Jest to demon oczekujący na określone "pukanie" i wówczas otwierający daną usługę. W przypadku braku odpowiedniej sekwencji "pukania" usługa na zewnątrz wygląda na niedostępną. Parę razy były na ten temat artykuły w Linux Magazine.
Autor:  viater [ wtorek, 25 listopada 2008, 18:52 ]
Tytuł: 
No i jest też jeszcze fail2ban ...
Autor:  Maciek [ wtorek, 25 listopada 2008, 19:04 ]
Tytuł: 
O fail2ban napisałem na początku ;)
Autor:  viater [ wtorek, 25 listopada 2008, 22:06 ]
Tytuł: 
Maciek pisze:
O fail2ban napisałem na początku ;)

A widzisz, nie dość, że łeb mi pęka od tych wszystkich spraw, o których Ci pisałem, to jeszcze ślepnę - może to przez mój monitor, który od czasu do czasu pomryguje na żółto albo zielono, w dodatku czasem strasznie ściemnia, aż go muszę porządnie pier****ć, żeby zaczął normalnie świecić...
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/