Модераторы: powerfox, ZeeLax
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Как защитить SSH от брутфорса ? debian 
:(
    Опции темы
Wowa
Дата 16.2.2011, 13:11 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
Group Icon


Профиль
Группа: Админ
Сообщений: 15017
Регистрация: 14.9.2000
Где: Винград

Репутация: нет
Всего: 290
Как защитить SSH от брутфорса ? Интересует Debian. 
PM WWW   Вверх
nickless
Дата 18.2.2011, 00:41 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Гентозавр
****


Профиль
Группа: Участник Клуба
Сообщений: 2976
Регистрация: 29.8.2005
Где: Germany

Репутация: 6
Всего: 181
fail2ban?


--------------------
user posted image

Real men don't use backups, they post their stuff on a public ftp server and let the rest of the world make copies
- Linus Torvalds
PM MAIL   Вверх
Фантом
Дата 18.2.2011, 01:09 (ссылка) | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Вы это прекратите!
***


Профиль
Группа: Участник Клуба
Сообщений: 1516
Регистрация: 23.3.2008

Репутация: нет
Всего: 49
Ну, например, denyhosts. Хотя можно просто нормальные пароли использовать.  smile 
PM   Вверх
ToshaCh
Дата 18.2.2011, 12:09 (ссылка) | (голосов:2) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 555
Регистрация: 10.11.2005
Где: Москва, РФ

Репутация: 2
Всего: 26
Цитата(Wowa @  16.2.2011,  13:11 Найти цитируемый пост)
Как защитить SSH от брутфорса ?
  •  Поставить пароль сиволов в 10-15 с "именем домашней собачки" (что-нить типа "Dk$50agj459jkr!AFiqq#%"). Подобрать простым перебором почти нереально. Самому при этом ходить по сертификату, который запаролен чем небудь более простым. Регулярно сертификат менять.
  •  На уровне ssh запретить логин под рутом и сменить порт на неочевидный (большинство автоматических атак идёт именно по этим параметрам). 
  •  На уровне файрвола ограничить количество сессий в секунду от одного ip по этому порту. (гуглить по теме iptables DOS)




--------------------
Slackware 12.2 | Linux 2.6.27 | Fluxbox 1.1.1 | Wmii 3 | Opera 9.63 
--
Oracle это не только способ отмывания денег, но и вполне себе преличная база данных.
PM MAIL Jabber   Вверх
mihanik
Дата 18.2.2011, 14:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


-=Белый Медведь=-
****


Профиль
Группа: Комодератор
Сообщений: 4054
Регистрация: 24.4.2006
Где: г. Тверь

Репутация: 1
Всего: 109
Использую denyhosts. Пока этого хватает.



--------------------
Программистами не рождаются, - это родовая травма...
user posted imageuser posted image
PM MAIL WWW ICQ   Вверх
bilbobagginz
Дата 18.2.2011, 19:52 (ссылка) | (голосов:2) Загрузка ... Загрузка ... Быстрая цитата Цитата


Naughtius Maximus
****


Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317
Цитата(Wowa @  16.2.2011,  12:11 Найти цитируемый пост)
Как защитить SSH от брутфорса ? Интересует Debian.  

если ну очень охота заморочиться - юзай port knocking.
принцип - стучимся до открытия порта:
т.е. до подключения ты отстукиваешь специальной прогрой какой-то такой "пароль" (при помощи отсыла сообщений TCP SYNֿ) напр. на порты:
30,50,80,130
только после этого открывается порт напр. 2222, на 1-2 секунды в которые ты подключаешься по ssh.
т.е. постоянно открытого порта нет вообще.


--------------------
Я ещё не демон. Я только учусь.
PM WWW   Вверх
500mhz
Дата 18.2.2011, 19:54 (ссылка) | (голосов:3) Загрузка ... Загрузка ... Быстрая цитата Цитата


шайтан
***


Профиль
Группа: Завсегдатай
Сообщений: 1017
Регистрация: 5.5.2008
Где: Киев / Italy

Репутация: нет
Всего: 14
Элементарно Ватсон )

PermitEmptyPasswords нет
PermitRootLogin нет
LoginGraceTime - 10    таймаут на попытку соединения
MaxAuthTries - 1    попытки
MaxStartups - 1   < важный параметр, колво одновременно залогиневшихся юсеров




--------------------
PM MAIL ICQ   Вверх
gcc
Дата 26.2.2011, 17:43 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Агент алкомафии
****


Профиль
Группа: Участник
Сообщений: 2691
Регистрация: 25.4.2008
Где: %&й

Репутация: 3
Всего: 17
на FreeBSD есть опция для ядра в sysctl, которая не дает сканерам просканировать порты, назівается, вродебы "Черная дырка"

Nmap - показывает все время, что разные левые порты открыты, которые на самом деле закрыты

можно просто порт поменять

Это сообщение отредактировал(а) gcc - 26.2.2011, 18:21


--------------------
Perl FAQ
freelance
perl, jquery, js, php
perl, jquery
PM WWW ICQ Skype GTalk Jabber   Вверх
Wowa
Дата 6.3.2011, 22:38 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
Group Icon


Профиль
Группа: Админ
Сообщений: 15017
Регистрация: 14.9.2000
Где: Винград

Репутация: нет
Всего: 290
а чем вам решение от 500mhz не понравилось?
PM WWW   Вверх
gcc
Дата 7.3.2011, 14:08 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Агент алкомафии
****


Профиль
Группа: Участник
Сообщений: 2691
Регистрация: 25.4.2008
Где: %&й

Репутация: 3
Всего: 17
тут вариантов, наверное, штук 100   smile  


--------------------
Perl FAQ
freelance
perl, jquery, js, php
perl, jquery
PM WWW ICQ Skype GTalk Jabber   Вверх
phpsc
Дата 13.3.2011, 06:41 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Бывалый
*


Профиль
Группа: Участник
Сообщений: 234
Регистрация: 22.11.2010

Репутация: нет
Всего: 0
iptables'ом разрешить доступ к ssh только с определенного ip (с вашего) или с диапазона.
--------------------
Социальная сеть
PM MAIL   Вверх
goga075
Дата 14.3.2011, 22:03 (ссылка) | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 358
Регистрация: 7.10.2007

Репутация: 1
Всего: 8
http://www.xakep.ru/post/35288/default.asp
Думаю это самые действенные и простейшие вариации!!


--------------------
Ставим + Не стесняемся)))
PM MAIL   Вверх
mihanik
Дата 14.3.2011, 23:47 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


-=Белый Медведь=-
****


Профиль
Группа: Комодератор
Сообщений: 4054
Регистрация: 24.4.2006
Где: г. Тверь

Репутация: 1
Всего: 109
Тогда уж и  http://www.thoughtcrime.org/software/knockknock/

 smile

Добавлено через 7 минут и 52 секунды
http://www.suroviy.ru/index.php?option=com...ry&Itemid=2



--------------------
Программистами не рождаются, - это родовая травма...
user posted imageuser posted image
PM MAIL WWW ICQ   Вверх
1gor88
Дата 3.5.2011, 11:59 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 2
Регистрация: 3.5.2011

Репутация: нет
Всего: нет
Можно решить брутально, к примеру поменять 22 порт на какой нибудь 225 по умолчанию, а 22 закрыть напрочь
PM MAIL WWW   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Linux/UNIX: Администрирование"
ZeeLax
Imple
nerezus
 Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.

  • Вы должны соблюдать правила форума.
  • Помните: какой вопрос, такой и ответ. Прежде чем задать вопрос прочитайте вот эту статью на форуме CIT.
  • Оскорблять запрещается.
  • Религиозные войны в Религиозных войнах.
  • Общение "просто так" в Клубе юнуксоидов. В отличие от многих других разделов, здесь разрешается сдержанно оффтопить и юморить в тему.

За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу).


В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим.

Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax.
 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Администрирование *NIX систем | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.1031 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.