Zabezpečení SSH proti útokům hrubou silou

[bbf5]

zdravím, prosím o radu. ne, že by mi to nějak vadilo, ale den co den kluci z číny, ruska, polska zkoušejí brute force na roota na server.

lze nějak počet neúspěšných přihlášení limitovat? jak?
lze nastavit interval mezi neúspěšným přihlášením a možností dalšího? (každou vteřinu +- zasílá pokus o přihlášení, kdyby mohl jen každých 5 vteřin např. jeden pokus hned by to bylo lepší)

blokovat jednotlivý ip přes iptables nemůžu dělat do nekonečna. V nastavování jsem vcelku amatér, tedy prosím o pokud možno návod pro "pokročilého", nikoliv profesionála.

Děkuji

[Reklama]

[tyctor]

mozes si dat automaticke blokovanie IP napr.: http://denyhosts.sourceforge.net/
a zakaz si prihlasovanie na root-a

[bbf5]

super, díky, to vypadá dobře.

Akorát prosím Tě, do hosts.deny IP zaznamenává správně ale normálně se z těch IP lze připojit na server, tzn. že to neblokuje.

Co musím ještě pustit? Díky

[bbf5]

tcp wrapper je instalovaný, přesto to nefunguje.

Něco upravit v configu ssh nebo ještě něco?

Jinak denyhosts běží v daemonu.

Děkuji

[Lopyk]

Jako jedna z alternativ pro automaticke banovani se nabizi aplikace fail2ban
http://www.fail2ban.org
kterou lze krom ssh pouzit i pro ostatni sluzby. Ackoliv na prvni pohled muze vypadat nastaveni slozite, jedna se vetsinou jen o mirnou modifikaci jednoho konfiguraku.

[Reklama]

[bbf5]

ten taky bude přes hosts.deny, ne?

mám problém, aby obsah host.deny byl skutečně serverem odmítán, resp. aby odmítal ip adresy v tom souboru.

[Lopyk]

fail2ban pouziva k banovani iptables, takze nema nic spolecnyho s hosts.deny a navrhoval jsem ho z toho duvod, ze se zrejme iptables na danem pc pouzivaji. prida si pri spusteni ke stavajicim pravidlum svoje vlastni skupiny pravidel a ty nasledne plni ip adresami a porty te ktere hlidane aplikace. tzn. muze na jednom pc hlidat jak ftp, tak ssh, ale banuje vzdy tu konkretni aplikaci.

pocet neplatnych pokusu stejne jako doba po kterou bude ban trvat lze nastavit individualne.

[bbf5]

jo tak potom super, díky. zatím jsem změnil port a je klid a zítra si s tím pohraju.

ještě jednou díky!

[trubicoid]

taky mam denyhost, aby pouzival /etc/hosts.deny tak potrebujes aby ssh bylo kompilovany s volbou tcp_wrappers, coz treba v mym gentoo udelam pridanim "tcpd" do USE flags

ve tve distribuci to muze byt jinak

vyzkouset muzes podle navodu zde: http://denyhosts.sourceforge.net/ssh_config.html

velka vyhoda denyhost je, ze si umi stahnout seznam "spatnych" ip ze serveru, takze jsi chraneny idealne jeste pred tim, nez te napadnou; momentalne mam v hosts.deny 4500 IP adres

[pek]

A nestačilo by změnit port na kterém ssh poslouchá?

[alfi]

A nestačilo by změnit port na kterém ssh poslouchá?

přesně tak, už to tu v diskuzích několikrát bylo. a taky to úspěšně už několik let používám :-)

[fcelda]

Ještě jedna možnost by byla přes iptables -m limit (nebo podobné).

Ale já to řeším tak, že povolím pouze přihlašování přes SSH klíč. Boti to většinou pak ani nezkouší.

[Franta Kučera]

ad alfi: a taky už bylo mnohokrát vyvrácena smysluplnost tohoto „bezpečnostního“ opatření.

[JardaP .]

Mozna, ze se jedna o "bezpecnostni" opatreni, nicmene ochrani pred vetsinou automatizovanych utoku, ktere se typicky neobtezuji skanovanim celeho mozneho rozsahu a jdou rovnou na port 22 a kdyz nenajdou, jdou o dum dale. Clovek pak ma v logu krasne cisto, zatimco kdyz jede na standardnim portu a nema treba Denyhosts, tak ma take 10000 radku v logu z jedne jedine adresy za par hodin. Pred dostatecne zavilym utocnikem vas to tedy neochrani, nicmene jako doplnkove opatreni je to dobre.