Odchyceni udalosti pri prihlaseni k ssh

Michal Kubecek mike na mk-sys.cz
Čtvrtek Prosinec 9 20:59:40 CET 2004


On Thu, Dec 09, 2004 at 07:20:35PM +0100, Pavel wrote:
> Ja vim, ze zkouseni vzdaleneho prihlaseni s ssh se tu pred
> casem resilo, ale ja mam nasledujici dotaz :
> Existuje nejaka moznost odchyceni udalosti pri prihlaseni
> k ssh ?  Konkretne :

Asi by to mělo jít tak, že si napíšete vhodný PAM modul.

> Udelam si skript "Zablokuj.sh" , ktery projede posledni
> zaznamy treba ve /var/log/messages a podle nich prida
> do iptables mezi zakazane adresy IP, ze kterych se nekdo
> neuspesne pokousi prihlasit k ssh (prostrednictvim uzivatelu
> jako test, john, george, server, apod.). A tento skript
> "Zablokuj.sh" bych potreboval okamzite spustit, pokud se
> kdokoli pokusi prihlasit k ssh. To znamena, ze jiz pri
> dalsim pokusu se prihlasit k ssh z teto stejne IP adresy,
> treba i za nekolik vterin, bude tato IP blokovana na urovni
> firewallu.

Tento typ automatického blokování vypadá na první pohled úžasně, ale na
druhý pohled je to nahrávka na DoS útok. Hint: rozmyslete si, co se
stane, když útočník nasimuluje podobný test s podvrženou IP adresou
počítače, ze kterého se potřebujete přihlásit.

							  Michal Kubeček



Další informace o konferenci Linux