Fórum Root.cz

Hlavní témata => Server => Téma založeno: CPU 13. 08. 2024, 15:30:19

Název: Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: CPU 13. 08. 2024, 15:30:19

Neměl by SSH server už podporovat Fail2Ban nativně? Nemělo se to integrovat přímo dovnitř? Nechtěli to tam přidat by default?

Nějak nevidím vhodné parametry.

Název: Re:SSH Fail2Ban
Přispěvatel: jjrsk 13. 08. 2024, 16:03:13

Jako ze by to DOSovalo samo sebe? Bezva napad!

Název: Re:Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: Petr Krčmář 13. 08. 2024, 16:19:22

Vývojáři to mají skutečně připravené (https://www.root.cz/zpravicky/openssh-zavadi-moznosti-blokovani-pokusu-o-hadani-hesla/) a mělo by to být součástí příštího vydání OpenSSH 7.6. Hlavní volby jsou PerSourcePenalties a PerSourcePenaltyExemptList.

Název: Re:Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: CPU 13. 08. 2024, 16:48:32

Aha, ok, tak to se mi předchází hodinky  ;D

@Petr Krčmář: Díky!

Název: Re:Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: Ondřej Caletka 14. 08. 2024, 10:49:17

Citace: Petr Krčmář  13. 08. 2024, 16:19:22

Vývojáři to mají skutečně připravené (https://www.root.cz/zpravicky/openssh-zavadi-moznosti-blokovani-pokusu-o-hadani-hesla/) a mělo by to být součástí příštího vydání OpenSSH 7.6. Hlavní volby jsou PerSourcePenalties a PerSourcePenaltyExemptList.

Aktuální vydání má číslo 9.8 a tuhle funkci už obsahuje (https://www.openssh.com/releasenotes.html#9.8p1:~:text=*%20sshd(8)%3A%20as%20described%20above%2C%20sshd(8)%20will%20now%20penalise%20client%0A%20%20%20addresses%20that%2C%20for%20various%20reasons%2C%20do%20not%20successfully%20complete%0A%20%20%20authentication.%20This%20feature%20is%20controlled%20by%20a%20new%20sshd_config(5)%0A%20%20%20PerSourcePenalties%20option%20and%20is%20on%20by%20default.).

Název: Re:Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: Rhinox 14. 08. 2024, 19:51:56

Kdyz blokovat zavadnej traffic, tak co nedrive. Proc by to melo prechazet celym sitovym stackem, kdyz se to da odfiltrovat jiz na urovni firewallu? Nez zbytecne navazovat spojeni se sshd-serverem (kterej to pak zablokuje) je lepsi to zahodit jiz na vstupnich pravidlech...

Název: Re:Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: Zopper 14. 08. 2024, 20:09:03

Protože zapnout pár voleb v sshd_config je o dost jednodušší, než propojovat ssh s firewallem. Nic nikomu nebrání si to propojení udělat, když ho chce.

Název: Re:Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: CPU 14. 08. 2024, 21:06:04

Ono to Fail2ban neodstaví (že by ho nešlo použít), dá se použít i tak, třeba po 20. pokusu. (při přihlašování heslem)

Samozřejmě je lepší přihlášení certifikátem a trochu víc utažená pravidla.

Název: Re:Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: LivingLegend 15. 08. 2024, 10:06:03

Citace: Rhinox  14. 08. 2024, 19:51:56

Kdyz blokovat zavadnej traffic, tak co nedrive. Proc by to melo prechazet celym sitovym stackem, kdyz se to da odfiltrovat jiz na urovni firewallu? Nez zbytecne navazovat spojeni se sshd-serverem (kterej to pak zablokuje) je lepsi to zahodit jiz na vstupnich pravidlech...

A on ten utok muze prijit jen z venku?

Název: Re:Integrace Fail2Ban přímo do OpenSSH
Přispěvatel: jjrsk 15. 08. 2024, 11:55:09

A ono se na ssh da pripojit jinak nez po siti?