Сервер FreeBSD. Используется как webserver. Только что заметил что очень активно подбирают пароль к руту.

Есть возможность закрыть всем доступ к 22 порту кроме определенных ИП. Ломают с разных ИП (видимо ботнет). Срочно надо надо установить firewall и настроить его. Никогда этого не делал, сервер удаленный и надо все сделать с первого раза. HELP!

Я пока что сменил пароль на нереально сложный в 14 символов по всем правилам, но меня устраивает мой старый пароль не мение легкий но более короткий. Да и файрвалл давно хотел там настроить на всякий пожарный (малоли кого забанить понадобится...).

Beos, еще про tcp wrappers глянь.

Beos, пора бы познакомиться с нормальными "сценариями пользования":
0. расслабься насчёт попыток взломать root, это нормально. один из вариантов это убрать - сменить порт с 22 на другой (7722, например)
1. установи sudo
2. создай "простого" пользователя, и создай правильную запись для него в /etc/sudoers (командой visudo), чтобы он мог всё через sudo выполнять.
3. настрой так систему, чтобы root не имел права подключения удалённо через SSH есть специальная переменная в файле настройки (PermitRootLogin no)
4. разреши подключение через SSH только с определенных IP и только определённого пользователя, напр. vertoletik
(не обязательно через TCP wrappers, можно и черес sshd_config)

сценарий доступа root-ом будет такой:

• подключился черес ssh как vertoletik
• набил
  

  Код

  sudo su -

• дал свой пароль, и стал root-ом.

если тебе "ну-кровь-из-носу-надо" что-то запускать на сервере удалённо из-под рута, то можно

• спец. переменную настроить так "PermitRootLogin without-password"
• настроить между клиентом и сервером доверенность на основе ssh public/private keys.

А об этой теме есть туча документации в сети.


Это сообщение отредактировал(а) bilbobagginz - 2.10.2009, 12:10

Спасибо за информацию. Думаю тут все что мне надо. Сегодня буду настраивать.   

Читаем про bruteblock, ставим из портов, настраиваем.

P.S. всяческие sshguard, sshit и т.п. в реальной жизни зарекомендовали себя неудобными (недо)изделиями.

я использовал fail2ban (как вариант) - довольно простая штука, не разберется только ленивый )))

А не проще ли на фаерволе заблокировать ИП с которого больше 3 неудачных попыток входа.

если он 1 в 2 года, то проще. а боты всегда делают более 3 неудачных попыток (за секунду причём)
и через 2-3 месяца твой сервер только и будет вычислять на каждое сообщение - не из нехорошего ли подключающийся списка (а списочек будет на несколько сотен адресов)

ну и что если нормальный фаервол то это не такая уж и большая проблема