Jak zablokovat IP adresu po nekolika neuspesnych prihlasenich k ssh

[Jiri Lisicky]

Premysl Hruby píše v St 29. 07. 2009 v 11:14 +0200:
> On (29/07/09 10:45), Jiri Lisicky wrote:
> > Date: Wed, 29 Jul 2009 10:45:20 +0200
> > From: Jiri Lisicky <LisickyJ na epos.cd.cz>
> > To: Diskuse o Linuxu v cestine <linux na linux.cz>
> > Subject: Re: Jak zablokovat IP adresu po nekolika neuspesnych prihlasenich
> > 	k ssh
> > X-Mailer: Evolution 2.10.3 (2.10.3-10.fc7) 
> > List-Id: Diskuse o Linuxu v cestine <linux.linux.cz>
> > 
> > Petr Štetiar píše v St 29. 07. 2009 v 09:17 +0200:
> > > Kovář Jan <jan-kovar na meggle.cz> [2009-07-29 07:36:03]:
> > > 
> > > > poradite mi prosim, jestli existuje neco, co by v pravidelnych intervalech
> > > > prochazelo log a po napr. peti neuspesnych pokusech o prihlaseni k ssh, by
> > > > pridalo pravidlo do iptables? Nebo cokoliv, co by zabranilo podobnym utokum.
> > > 
> > > http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
> > 
> > Mě se nejvíce líbí řešení s modulem recent v iptables. Není potřeba
> > žádný další sw, jen se napíší ta správná pravidla do iptables. Používám
> > to již delší dobu na serveru. Pravda trošku jinak, než je ve výše
> > zmíněném článku.
> > 
> > 
> 
> Reseni pres recent v iptables ma jednu zasadni nevyhodu, neblokuje podle
> cetnosti neuspesnych prihlaseni, ale jenom podle cetnosti prihlaseni (a
> tedy vcetne uspesnych) -- zablokuje vas i v pripade, ze se prihlasujete
> sice spravne, ale moc casto.

Ano, ale tak často (řekněme 5x za minutu - jde to nastavit) jsem se
ještě nepřihlašoval :-) Ale brutal-force útok ano. Navíc mám seznam pár
IP adres, ze kterých většinou přitupuji a ty se nezablokují nikdy - ale
není to ani potřeba.

Jak říkám, hlavně se mí líbí ta jednoduchost a že si to hlídá přímo
iptables. Nemusí to prohledávat logy.


> K puvodnimu dotazu, jsem taktez pro fail2ban, ten BTW umi i jine sluzby
> (cokoliv na co se da napsat rozumny regexp), by default SASL, ftp, http
> autorizaci v apachi apod.
> 
> -Ph
>