Zabezpečení SSH proti útokům hrubou silou

bbf5

Zabezpečení SSH proti útokům hrubou silou
« kdy: 30. 03. 2010, 15:40:24 »
zdravím, prosím o radu. ne, že by mi to nějak vadilo, ale den co den kluci z číny, ruska, polska zkoušejí brute force na roota na server.

lze nějak počet neúspěšných přihlášení limitovat? jak?
lze nastavit interval mezi neúspěšným přihlášením a možností dalšího? (každou vteřinu +- zasílá pokus o přihlášení, kdyby mohl jen každých 5 vteřin např. jeden pokus hned by to bylo lepší)

blokovat jednotlivý ip přes iptables nemůžu dělat do nekonečna. V nastavování jsem vcelku amatér, tedy prosím o pokud možno návod pro "pokročilého", nikoliv profesionála.

Děkuji
« Poslední změna: 30. 03. 2010, 22:16:55 od Petr Krčmář »


tyctor

Re: ssh - zabezpečení
« Odpověď #1 kdy: 30. 03. 2010, 15:47:51 »
mozes si dat automaticke blokovanie IP napr.: http://denyhosts.sourceforge.net/
a zakaz si prihlasovanie na root-a

bbf5

Re: ssh - zabezpečení
« Odpověď #2 kdy: 30. 03. 2010, 16:25:08 »
super, díky, to vypadá dobře.

Akorát prosím Tě, do hosts.deny IP zaznamenává správně ale normálně se z těch IP lze připojit na server, tzn. že to neblokuje.

Co musím ještě pustit? Díky

bbf5

Re: ssh - zabezpečení
« Odpověď #3 kdy: 30. 03. 2010, 17:01:23 »
tcp wrapper je instalovaný, přesto to nefunguje.

Něco upravit v configu ssh nebo ještě něco?

Jinak denyhosts běží v daemonu.

Děkuji

Lopyk

Re: ssh - zabezpečení
« Odpověď #4 kdy: 30. 03. 2010, 17:12:09 »
Jako jedna z alternativ pro automaticke banovani se nabizi aplikace fail2ban
http://www.fail2ban.org
kterou lze krom ssh pouzit i pro ostatni sluzby. Ackoliv na prvni pohled muze vypadat nastaveni slozite, jedna se vetsinou jen o mirnou modifikaci jednoho konfiguraku.


bbf5

Re: ssh - zabezpečení
« Odpověď #5 kdy: 30. 03. 2010, 19:09:32 »
ten taky bude přes hosts.deny, ne?

mám problém, aby obsah host.deny byl skutečně serverem odmítán, resp. aby odmítal ip adresy v tom souboru.

Lopyk

Re: ssh - zabezpečení
« Odpověď #6 kdy: 30. 03. 2010, 19:47:11 »
fail2ban pouziva k banovani iptables, takze nema nic spolecnyho s hosts.deny a navrhoval jsem ho z toho duvod, ze se zrejme iptables na danem pc pouzivaji. prida si pri spusteni ke stavajicim pravidlum svoje vlastni skupiny pravidel a ty nasledne plni ip adresami a porty te ktere hlidane aplikace. tzn. muze na jednom pc hlidat jak ftp, tak ssh, ale banuje vzdy tu konkretni aplikaci.

pocet neplatnych pokusu stejne jako doba po kterou bude ban trvat lze nastavit individualne.

bbf5

Re: ssh - zabezpečení
« Odpověď #7 kdy: 30. 03. 2010, 19:54:47 »
jo tak potom super, díky. zatím jsem změnil port a je klid a zítra si s tím pohraju.

ještě jednou díky!

trubicoid

Re: Zabezpečení SSH proti útokům hrubou silou
« Odpověď #8 kdy: 31. 03. 2010, 09:11:08 »
taky mam denyhost, aby pouzival /etc/hosts.deny tak potrebujes aby ssh bylo kompilovany s volbou tcp_wrappers, coz treba v mym gentoo udelam pridanim "tcpd" do USE flags

ve tve distribuci to muze byt jinak

vyzkouset muzes podle navodu zde: http://denyhosts.sourceforge.net/ssh_config.html

velka vyhoda denyhost je, ze si umi stahnout seznam "spatnych" ip ze serveru, takze jsi chraneny idealne jeste pred tim, nez te napadnou; momentalne mam v hosts.deny 4500 IP adres

pek

Re: Zabezpečení SSH proti útokům hrubou silou
« Odpověď #9 kdy: 31. 03. 2010, 11:47:54 »
A nestačilo by změnit port na kterém ssh poslouchá?

alfi

Re: Zabezpečení SSH proti útokům hrubou silou
« Odpověď #10 kdy: 31. 03. 2010, 13:09:33 »
A nestačilo by změnit port na kterém ssh poslouchá?

přesně tak, už to tu v diskuzích několikrát bylo. a taky to úspěšně už několik let používám :-)

fcelda

Re: Zabezpečení SSH proti útokům hrubou silou
« Odpověď #11 kdy: 31. 03. 2010, 13:31:38 »
Ještě jedna možnost by byla přes iptables -m limit (nebo podobné).

Ale já to řeším tak, že povolím pouze přihlašování přes SSH klíč. Boti to většinou pak ani nezkouší.

Re: Zabezpečení SSH proti útokům hrubou silou
« Odpověď #12 kdy: 05. 04. 2010, 17:24:56 »
ad alfi: a taky už bylo mnohokrát vyvrácena smysluplnost tohoto „bezpečnostního“ opatření.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Zabezpečení SSH proti útokům hrubou silou
« Odpověď #13 kdy: 06. 04. 2010, 16:57:18 »
Mozna, ze se jedna o "bezpecnostni" opatreni, nicmene ochrani pred vetsinou automatizovanych utoku, ktere se typicky neobtezuji skanovanim celeho mozneho rozsahu a jdou rovnou na port 22 a kdyz nenajdou, jdou o dum dale. Clovek pak ma v logu krasne cisto, zatimco kdyz jede na standardnim portu a nema treba Denyhosts, tak ma take 10000 radku v logu z jedne jedine adresy za par hodin. Pred dostatecne zavilym utocnikem vas to tedy neochrani, nicmene jako doplnkove opatreni je to dobre.