Zdravim!

V poslednej dobe sa mnozia utoky zo zahranicnych IP na moj server, preto by som rad zablokoval vsetky IP rozsahy, ktore niesu z Europy, pripadne Slovenska. Vacsinou sa jedna o pokusy o uhadnutie hesla pomocou SSH a nahodneho skusania uzivatelov. Pripadne by bolo dobre vymysliet sposob, ako docasne zabanovat IP adresu, ktora urcity pocet krat nespravne zada heslo. Mate nejake napady ako na to? Jedna sa o Debian lenny.

Dakujem.

Toto by ti mohlo pomoct v pripade, ze chces blokovat na zaklade krajin:
http://www.debian-administration.org/articles/518 a v kombinacii s denyhosts , ktory zase da ban na IP, ktora sa pokusala pripojit ale neuspesne, by to mohlo byt celkom fajn riesenie. Len skoda, ze podla toho navodu treba skompilovat nanovo kernel, teda ak nemas stastie a nie je kernel skompilovany s touto moznostou. Mozes overit: Ak by hodil daky vysledok, tak je to ok.
Co sa tyka este geoip databazy, je to v repozitaroch, netreba wget pouzivat, taktiez denyhosts. To len preto, ze vo vacsine pripadov je na zaciatku ziskanie zdrojovych kodov a kompilacia aj ked sa tie balicky nachadzaju v repozitaroch. /zrejme snaha o univerzalne riesenie alebo v tom case tam neboli /. Taktiez pre update databazy si treba nainstalovat geoip-bin a tam sa nachadza nastroj geoipupdate, ktory aktualizuje geoip databazu. Trebars pouzit cron s geoipupdate a dat raz do mesiaca nech sa updatne. Myslis, ze to je totiz prave interval update na ich strane.

My pouzivame na servri fail2ban V pripade opakovaneho skusania hesiel blokne IPcku na urcitu dobu / na stalo.
Alebo jednoducho zmen defaultny port pre ssh. Hovori sa ze utoky potom nadobro zmiznu (ak sa nejedna o cielene utoky).

Deafboy napísal:Alebo jednoducho zmen defaultny port pre ssh. Hovori sa ze utoky potom nadobro zmiznu (ak sa nejedna o cielene utoky).

Aj mňa nejakú dobu trápili takéto útoky... Po zmene portu sa ich počet znížil na 0!

pato83: V kerneli to bohuzial nemam a co je horsie, nemam ani zdrojaky od sucasneho kernelu, tym padom to tam nemozem zapracovat

Deafboy: Zhodou okolnosti som na fail2ban narazil vcera aj ja, teraz je uz na serveri a uvidime ako pobezi, kedze pouzivam logrotate a ten treba synchronizovat s logcheckom a toto vsetko este s fail2ban

DjBass: Ano, aj nad tym som uvazoval, ale predsa - default port je default port

Dakujem vsetkym za rady, uvidime zajtra o 06:00 (cas, kedy mi logcheck posiela email), ci vsetko funguje

velmi ucinne riesenie je aj port-knocking
jednoducha konfiguracia (mnoho navodov aj v cestine) a je naozaj spolahlivy

Numline1 napísal:pato83: V kerneli to bohuzial nemam a co je horsie, nemam ani zdrojaky od sucasneho kernelu, tym padom to tam nemozem zapracovat

Deafboy: Zhodou okolnosti som na fail2ban narazil vcera aj ja, teraz je uz na serveri a uvidime ako pobezi, kedze pouzivam logrotate a ten treba synchronizovat s logcheckom a toto vsetko este s fail2ban

DjBass: Ano, aj nad tym som uvazoval, ale predsa - default port je default port

Dakujem vsetkym za rady, uvidime zajtra o 06:00 (cas, kedy mi logcheck posiela email), ci vsetko funguje

Deafboy: Fail2ban je vlastne to iste ako denyhosts, teda aspon ako si to opisal. Hlavne nech to funguje teda, mne je jedno co pouzije.
Zdrojove kody ku kernelu ziskas cez apt: , takze v tom by az taky problem nebol. Ja som to myslel skor cele to moje riesenie tak, ze pozakazujes krajiny pomocou iptables. Tie krajiny, ktore zakazat nemozes, o tie sa postara denyhosts, fail2ban alebo ine.

jj, to mozno, ale denyhosts ma zrejme mensiu ucinnost, kedze sa vzdy moze vyskytnut novy host. Fail2Ban zatial funguje pekne, tri pokusy a ban na par hodin, takze bruteforce asi skoncili. inak, co sa jadra tyka, tak mam vhost od websupportu a predpokladam, ze upravy v jadre skoro urcite robili, preto by som nerad pouzil defaultne

Numline1 napísal:
DjBass: Ano, aj nad tym som uvazoval, ale predsa - default port je default port

to mi prosim vysvetli? Vsak zmen port na napr. 99 a zmiznu ti vsetky utoky ako sa pisalo hore (ak to nie je cielene samozrejme)
.

Dalsi sposob je prihlasovanie pomocou verejneho a privatneho kluce, ktore je bezpecne a vypnut prihlasovanie heslom. Pri autentifikacii privatnym klucom sa neprenasa heslo na server, kdezto pri logine hej.

Bude mi potesenim to objasnit. Keby prevadzkujes verejny HTTP server, zmenil by si port z 80 na 94137?

HTTP server a SSH server sú dve rozličné veci. Pričom na HTTP server sa pripájajú ĽUDIA, ktorí nevedia o tvojej alternatívnej konfigurácii, na SSH sa pripájaš len ty sám, prípadne pár iných ľudí, ktorých oboznámiš s tým, že SSH server beží na inom porte.