Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > Администрирование *NIX систем > Настройка Firewall (ломают сервер)


Автор: Beos 2.10.2009, 06:39
Сервер FreeBSD. Используется как webserver. Только что заметил что очень активно подбирают пароль к руту.

Есть возможность закрыть всем доступ к 22 порту кроме определенных ИП. Ломают с разных ИП (видимо ботнет). Срочно надо надо установить firewall и настроить его. Никогда этого не делал, сервер удаленный и надо все сделать с первого раза. HELP!

Автор: Beos 2.10.2009, 07:00
Я пока что сменил пароль на нереально сложный в 14 символов по всем правилам, но меня устраивает мой старый пароль не мение легкий но более короткий. Да и файрвалл давно хотел там настроить на всякий пожарный (малоли кого забанить понадобится...).

Автор: spin2 2.10.2009, 11:54
Beos, еще про tcp wrappers глянь.

Автор: bilbobagginz 2.10.2009, 12:08
Beos, пора бы познакомиться с нормальными "сценариями пользования":
0. расслабься насчёт попыток взломать root, это нормально. один из вариантов это убрать - сменить порт с 22 на другой (7722, например)
1. установи sudo
2. создай "простого" пользователя, и создай правильную запись для него в /etc/sudoers (командой visudo), чтобы он мог всё через sudo выполнять.
3. настрой так систему, чтобы root не имел права подключения удалённо через SSH есть специальная переменная в файле настройки (PermitRootLogin no)
4. разреши подключение через SSH только с определенных IP и только определённого пользователя, напр. vertoletik
(не обязательно через TCP wrappers, можно и черес sshd_config)

сценарий доступа root-ом будет такой:
  • подключился черес ssh как vertoletik
  • набил
    Код

    sudo su -
  • дал свой пароль, и стал root-ом.


если тебе "ну-кровь-из-носу-надо" что-то запускать на сервере удалённо из-под рута, то можно
  • спец. переменную настроить так "PermitRootLogin without-password"
  • настроить между клиентом и сервером доверенность на основе ssh public/private keys.
А об этой теме есть туча документации в сети.

Автор: Beos 3.10.2009, 07:10
Спасибо за информацию. Думаю тут все что мне надо. Сегодня буду настраивать.  smile 

Автор: DENNN 2.11.2009, 15:20
Читаем про bruteblock, ставим из портов, настраиваем.

P.S. всяческие sshguard, sshit и т.п. в реальной жизни зарекомендовали себя неудобными (недо)изделиями.

Автор: GwinnBleidd 2.11.2009, 16:41
я использовал fail2ban (как вариант) - довольно простая штука, не разберется только ленивый )))

Автор: DarkASU 16.11.2009, 20:46
А не проще ли на фаерволе заблокировать ИП с которого больше 3 неудачных попыток входа.

Автор: bilbobagginz 17.11.2009, 22:19
Цитата(DarkASU @  16.11.2009,  19:46 Найти цитируемый пост)
А не проще ли на фаерволе заблокировать ИП с которого больше 3 неудачных попыток входа. 

если он 1 в 2 года, то проще. а боты всегда делают более 3 неудачных попыток (за секунду причём)
и через 2-3 месяца твой сервер только и будет вычислять на каждое сообщение - не из нехорошего ли подключающийся списка (а списочек будет на несколько сотен адресов)

Автор: DarkASU 18.11.2009, 09:29
ну и что если нормальный фаервол то это не такая уж и большая проблема

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)