Jak zablokovat IP adresu po nekolika neuspesnych prihlasenich k ssh

Premysl Hruby dfenze na gmail.com
Středa Červenec 29 11:14:10 CEST 2009


On (29/07/09 10:45), Jiri Lisicky wrote:
> Date: Wed, 29 Jul 2009 10:45:20 +0200
> From: Jiri Lisicky <LisickyJ na epos.cd.cz>
> To: Diskuse o Linuxu v cestine <linux na linux.cz>
> Subject: Re: Jak zablokovat IP adresu po nekolika neuspesnych prihlasenich
> 	k ssh
> X-Mailer: Evolution 2.10.3 (2.10.3-10.fc7) 
> List-Id: Diskuse o Linuxu v cestine <linux.linux.cz>
> 
> Petr Štetiar píše v St 29. 07. 2009 v 09:17 +0200:
> > Kovář Jan <jan-kovar na meggle.cz> [2009-07-29 07:36:03]:
> > 
> > > poradite mi prosim, jestli existuje neco, co by v pravidelnych intervalech
> > > prochazelo log a po napr. peti neuspesnych pokusech o prihlaseni k ssh, by
> > > pridalo pravidlo do iptables? Nebo cokoliv, co by zabranilo podobnym utokum.
> > 
> > http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
> 
> Mě se nejvíce líbí řešení s modulem recent v iptables. Není potřeba
> žádný další sw, jen se napíší ta správná pravidla do iptables. Používám
> to již delší dobu na serveru. Pravda trošku jinak, než je ve výše
> zmíněném článku.
> 
> 

Reseni pres recent v iptables ma jednu zasadni nevyhodu, neblokuje podle
cetnosti neuspesnych prihlaseni, ale jenom podle cetnosti prihlaseni (a
tedy vcetne uspesnych) -- zablokuje vas i v pripade, ze se prihlasujete
sice spravne, ale moc casto.

K puvodnimu dotazu, jsem taktez pro fail2ban, ten BTW umi i jine sluzby
(cokoliv na co se da napsat rozumny regexp), by default SASL, ftp, http
autorizaci v apachi apod.

-Ph

-- 
Premysl "Anydot" Hruby, http://www.redrum.cz/
-
I'm a signature virus. Please add me to your signature and help me spread!



Další informace o konferenci Linux