Date: Tue, 26 Oct 2004 12:34:14 +0200 From: Flemming Jacobsen <none@fj--fj.batmule.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: sshd autoblock af IP?
Peter Zinck Wulff wrote:
> Er der nogen der ved hvordan man kan få sshd til at blocke et IP-nummer
> efter x antal unsuccessfull loginattemts?
Det kan den ikke (så vidt jeg vd).
> Jeg har prøvet med bl.a. login-tries i login.conf, men det ser ikke rigtig
> ud til at virke efter hensigten, selvom jeg har kørt cap_mkdb på den.
>
> Desuden er det heller ikke helt den funktionalitet jeg går efter, men
> i stedet en total block af et IP der ikke logger rigtigt ind efter x
> forsøg.
Du kan vel kode lidt perl/ruby/sh/whatever der følger logfilen og
tilføjer en ipfw deny regel (eller noget tilsvarende for pf).
Det er bare ikke den rigtige måde at gøre det.
Hvis du er træt af at dumme zombier prøver at brute-force gætte
dit root-password, så flyt din sshd port. Det giver ikke nogen
reel sikkerhedsforbedring, men det giver mindre støj i
logfilerne (og dermed bedre chance for at se de reelle
problemer).
Hvis du ønsker at kun legitime brugere skal kunne ssh'e til
maskinen så overvej (sorteret efter stigende effektivitet):
+ Filtrer "known bad" IPranges fra. Jeg rejser ikke i østen og
sydamerika, så jeg har brutalt blokket for (bla.)
200.0.0.0/8, 210.0.0.0/7 og 218-222.0.0.0/8.
+ FW-filtrer din ssh port så den kun kan nås fra trustede IPer
(eller semi-trustede ranges - afhængig af din
sikkerhedspolitik).
+ Tillad kun login med nøgler - de er i praksis umulige at
gætte.
+ Tillad kun adgang via VPN.
Hyg'
Flemming
-- Flemming Jacobsen Email: fj@batmule.dk ---=== If speed kills, Windows users may live forever. ===---
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:44 CET