* [Comm] всё время ломятся в ssh
@ 2005-09-24 19:24 Vitaly Lipatov
2005-09-24 19:34 ` Владимир Гусев
` (4 more replies)
0 siblings, 5 replies; 18+ messages in thread
From: Vitaly Lipatov @ 2005-09-24 19:24 UTC (permalink / raw)
To: ALT Linux Community
Подскажите, что сделать, чтобы некие автоматы-хакеты
не пытались непрерывно залогиниться по ssh? Может быть можно
portsentry заставить отрабатывать эту ситуацию, занося
в /etc/host.deny адрес взломщика?
--
Lav
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! WINE! LaTeX! LyX! http://freesource.info
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] всё время ломятся в ssh
2005-09-24 19:24 [Comm] всё время ломятся в ssh Vitaly Lipatov
@ 2005-09-24 19:34 ` Владимир Гусев
2005-09-24 20:37 ` [Comm] всё время ломятся в ssh [JT] Vitaly Lipatov
2005-09-24 20:38 ` [Comm] всё время ломятся в ssh Vitaly Lipatov
` (3 subsequent siblings)
4 siblings, 1 reply; 18+ messages in thread
From: Владимир Гусев @ 2005-09-24 19:34 UTC (permalink / raw)
To: ALT Linux Community
> Подскажите, что сделать, чтобы некие автоматы-хакеты
> не пытались непрерывно залогиниться по ssh? Может быть можно
> portsentry заставить отрабатывать эту ситуацию, занося
> в /etc/host.deny адрес взломщика?
Кстати, одно время у меня так и происходило - hosts.deny пополнялся все
новыми IP, но как это получилось - не знаю :). Возможно я как-то
активировал portcentry (или что-то другое) через webmin..
--
С уважением, Владимир Гусев
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] всё время ломятся в ssh [JT]
2005-09-24 19:34 ` Владимир Гусев
@ 2005-09-24 20:37 ` Vitaly Lipatov
0 siblings, 0 replies; 18+ messages in thread
From: Vitaly Lipatov @ 2005-09-24 20:37 UTC (permalink / raw)
To: ALT Linux Community
On Saturday 24 September 2005 23:34, Владимир Гусев wrote:
> > Подскажите, что сделать, чтобы некие автоматы-хакеты
> > не пытались непрерывно залогиниться по ssh? Может быть можно
> > portsentry заставить отрабатывать эту ситуацию, занося
> > в /etc/host.deny адрес взломщика?
>
> Кстати, одно время у меня так и происходило - hosts.deny
> пополнялся все новыми IP, но как это получилось - не знаю :).
Хорошо вам :)
> Возможно я как-то активировал portcentry (или что-то другое)
У меня portsentry пополняет список, но не по обсуждаемой причине,
увы.
--
Lav
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! WINE! LaTeX! LyX! http://freesource.info
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] всё время ломятся в ssh
2005-09-24 19:24 [Comm] всё время ломятся в ssh Vitaly Lipatov
2005-09-24 19:34 ` Владимир Гусев
@ 2005-09-24 20:38 ` Vitaly Lipatov
2005-09-25 7:21 ` Sergey Viuchny
2005-09-26 9:12 ` Vitaly Ostanin
` (2 subsequent siblings)
4 siblings, 1 reply; 18+ messages in thread
From: Vitaly Lipatov @ 2005-09-24 20:38 UTC (permalink / raw)
To: community
On Saturday 24 September 2005 23:24, Vitaly Lipatov wrote:
> Подскажите, что сделать, чтобы некие автоматы-хакеты
> не пытались непрерывно залогиниться по ssh? Может быть можно
> portsentry заставить отрабатывать эту ситуацию, занося
> в /etc/host.deny адрес взломщика?
Собственно именно это обсуждали в теме "Попытка взлома", но
а) это ведь ломится автомат, а не человек
б) руками отключать каждого - руки отвалятся
в) как бы автоматизировать отключение таких маших?
--
Lav
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! WINE! LaTeX! LyX! http://freesource.info
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] всё время ломятся в ssh
2005-09-24 20:38 ` [Comm] всё время ломятся в ssh Vitaly Lipatov
@ 2005-09-25 7:21 ` Sergey Viuchny
2005-09-26 8:28 ` ABATAPA
2005-09-26 12:24 ` [Comm] " Michael Shigorin
0 siblings, 2 replies; 18+ messages in thread
From: Sergey Viuchny @ 2005-09-25 7:21 UTC (permalink / raw)
To: ALT Linux Community
так сказать мысли вслух.
в pf из OpenBSD можно делать примерно так:
пишется правило в pf что-то типа
pass in log on $ext_if inet proto tcp from any to $ext_if port 22 \
flags S/SA keep state \
(max-src-conn-rate 4/40, overload <BLACKLIST> flush)
значит это следующее: при превышении лимита, равного 4 попыткам установить
соединение на порт 22 в течении 40 секунд, IP заносится в таблицу BLACKLIST
далее IP из таблицы блокируются другим правилом
думаю, подобное можно сделать и средствами iptables,
с помощью модуля limit , например
PS
а вообще, ИМХО, смена порта и PasswordAuthentication no снимают вопрос
В сообщении от Воскресенье 25 Сентябрь 2005 00:38 Vitaly Lipatov написал(a):
> On Saturday 24 September 2005 23:24, Vitaly Lipatov wrote:
> > Подскажите, что сделать, чтобы некие автоматы-хакеты
> > не пытались непрерывно залогиниться по ssh? Может быть можно
> > portsentry заставить отрабатывать эту ситуацию, занося
> > в /etc/host.deny адрес взломщика?
>
> Собственно именно это обсуждали в теме "Попытка взлома", но
> а) это ведь ломится автомат, а не человек
> б) руками отключать каждого - руки отвалятся
> в) как бы автоматизировать отключение таких маших?
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] всё время ломятся в ssh
2005-09-25 7:21 ` Sergey Viuchny
@ 2005-09-26 8:28 ` ABATAPA
2005-09-26 13:48 ` Andrey Rahmatullin
2005-09-26 12:24 ` [Comm] " Michael Shigorin
1 sibling, 1 reply; 18+ messages in thread
From: ABATAPA @ 2005-09-26 8:28 UTC (permalink / raw)
To: ALT Linux Community
Воскресенье 25 Сентябрь 2005 11:21, Sergey Viuchny написал:
> пишется правило в pf что-то типа
> pass in log on $ext_if inet proto tcp from any to $ext_if port 22 \
> flags S/SA keep state \
> (max-src-conn-rate 4/40, overload <BLACKLIST> flush)
>
> значит это следующее: при превышении лимита, равного 4 попыткам установить
> соединение на порт 22 в течении 40 секунд, IP заносится в таблицу BLACKLIST
> далее IP из таблицы блокируются другим правилом
>
> думаю, подобное можно сделать и средствами iptables,
> с помощью модуля limit , например
Можно сделать еще проще: разрешить такие пакеты не чаще, скажем, N в 5 минут с
каждой сети C средствами IPTables. Если сам ошибся - можно и подождать.
--
ABATAPA
^ permalink raw reply [flat|nested] 18+ messages in thread
* [Comm] Re: всё время ломятся в ssh
2005-09-24 19:24 [Comm] всё время ломятся в ssh Vitaly Lipatov
2005-09-24 19:34 ` Владимир Гусев
2005-09-24 20:38 ` [Comm] всё время ломятся в ssh Vitaly Lipatov
@ 2005-09-26 9:12 ` Vitaly Ostanin
2005-09-26 12:25 ` Michael Shigorin
2005-09-27 6:43 ` [Comm] " Alexey Morsov
4 siblings, 0 replies; 18+ messages in thread
From: Vitaly Ostanin @ 2005-09-26 9:12 UTC (permalink / raw)
To: ALT Linux Community
[-- Attachment #1: Type: text/plain, Size: 385 bytes --]
Vitaly Lipatov пишет:
> Подскажите, что сделать, чтобы некие автоматы-хакеты
> не пытались непрерывно залогиниться по ssh? Может быть можно
> portsentry заставить отрабатывать эту ситуацию, занося
> в /etc/host.deny адрес взломщика?
Из новостей lrn:
http://www.linux.com/article.pl?sid=05/09/15/1655234
--
Regards, Vyt
mailto: vyt@vzljot.ru
JID: vyt@vzljot.ru
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 256 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* [Comm] Re: всё время ломятся в ssh
2005-09-25 7:21 ` Sergey Viuchny
2005-09-26 8:28 ` ABATAPA
@ 2005-09-26 12:24 ` Michael Shigorin
1 sibling, 0 replies; 18+ messages in thread
From: Michael Shigorin @ 2005-09-26 12:24 UTC (permalink / raw)
To: ALT Linux Community
On Sun, Sep 25, 2005 at 11:21:30AM +0400, Sergey Viuchny wrote:
> думаю, подобное можно сделать и средствами iptables,
> с помощью модуля limit , например
Кстати, в ALM2.4 с ним всё плохо IIRC (нет его).
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- visit our conference (Oct 1):
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 18+ messages in thread
* [Comm] Re: всё время ломятся в ssh
2005-09-24 19:24 [Comm] всё время ломятся в ssh Vitaly Lipatov
` (2 preceding siblings ...)
2005-09-26 9:12 ` Vitaly Ostanin
@ 2005-09-26 12:25 ` Michael Shigorin
2005-09-27 6:43 ` [Comm] " Alexey Morsov
4 siblings, 0 replies; 18+ messages in thread
From: Michael Shigorin @ 2005-09-26 12:25 UTC (permalink / raw)
To: ALT Linux Community
On Sat, Sep 24, 2005 at 11:24:16PM +0400, Vitaly Lipatov wrote:
> Подскажите, что сделать, чтобы некие автоматы-хакеты
> не пытались непрерывно залогиниться по ssh?
Дропать :22 или отключить интернет.
> Может быть можно portsentry заставить отрабатывать эту
> ситуацию, занося в /etc/host.deny адрес взломщика?
Бессмысленно. Посмотри на пакет knock, если это будет удобнее.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- visit our conference (Oct 1):
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] всё время ломятся в ssh
2005-09-26 8:28 ` ABATAPA
@ 2005-09-26 13:48 ` Andrey Rahmatullin
0 siblings, 0 replies; 18+ messages in thread
From: Andrey Rahmatullin @ 2005-09-26 13:48 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 561 bytes --]
On Mon, Sep 26, 2005 at 12:28:57PM +0400, ABATAPA wrote:
> Можно сделать еще проще: разрешить такие пакеты не чаще, скажем, N в 5 минут с
> каждой сети C средствами IPTables. Если сам ошибся - можно и подождать.
Разве это не limit делается?
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):
<AMorozov> vsu: то есть, я правильно понял, что ваше отношение к tmpfs-lookup-traps в данный момент отрицательное?
<vsu> AMorozov: по крайней мере места, напоминающие баги, там есть
<AMorozov> vsu: :-) Удивительная политкорректность ;-)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] всё время ломятся в ssh
2005-09-24 19:24 [Comm] всё время ломятся в ssh Vitaly Lipatov
` (3 preceding siblings ...)
2005-09-26 12:25 ` Michael Shigorin
@ 2005-09-27 6:43 ` Alexey Morsov
2005-09-27 7:18 ` Re[2]: " Vital Shade
4 siblings, 1 reply; 18+ messages in thread
From: Alexey Morsov @ 2005-09-27 6:43 UTC (permalink / raw)
To: ALT Linux Community
Vitaly Lipatov wrote:
> Подскажите, что сделать, чтобы некие автоматы-хакеты
> не пытались непрерывно залогиниться по ssh? Может быть можно
А может закрыть iptables-ом input и в нем дать доступ для ssh
только для себя (своей подсетки или вообще ip)
Ко мне таак на мылсервер ломились когда поставил (хотя вродже бы
за циской сидит - а вот млин) - оторвал ему весь INPUT кроме
конектов из локальной сетки - с тех пор тихо.
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm] всё время ломятся в ssh
2005-09-27 6:43 ` [Comm] " Alexey Morsov
@ 2005-09-27 7:18 ` Vital Shade
2005-09-27 7:41 ` Alexey Morsov
2005-09-28 10:14 ` Michael Shigorin
0 siblings, 2 replies; 18+ messages in thread
From: Vital Shade @ 2005-09-27 7:18 UTC (permalink / raw)
To: ALT Linux Community
Hello Alexey,
Tuesday, September 27, 2005, 9:43:44 AM, you wrote:
> Vitaly Lipatov wrote:
>> Подскажите, что сделать, чтобы некие автоматы-хакеты
>> не пытались непрерывно залогиниться по ssh? Может быть можно
> А может закрыть iptables-ом input и в нем дать доступ для ssh
> только для себя (своей подсетки или вообще ip)
> Ко мне таак на мылсервер ломились когда поставил (хотя вродже бы
> за циской сидит - а вот млин) - оторвал ему весь INPUT кроме
> конектов из локальной сетки - с тех пор тихо.
Ssh на другой порт + portsentry решает проблему на 99% процентов.
А руками сидеть и мониторить логи, содавать таблицы IP которые
необходимо закрыть - уж больно некрасиво. IMHO.
--
Best regards,
Vital mailto:the_shade@tut.by
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] всё время ломятся в ssh
2005-09-27 7:18 ` Re[2]: " Vital Shade
@ 2005-09-27 7:41 ` Alexey Morsov
2005-09-27 11:56 ` [Comm]всё " unix9
2005-09-28 10:14 ` Michael Shigorin
1 sibling, 1 reply; 18+ messages in thread
From: Alexey Morsov @ 2005-09-27 7:41 UTC (permalink / raw)
To: Vital Shade, ALT Linux Community
Vital Shade wrote:
> Ssh на другой порт + portsentry решает проблему на 99% процентов.
> А руками сидеть и мониторить логи, содавать таблицы IP которые
> необходимо закрыть - уж больно некрасиво. IMHO.
Какие таблицы? Чего мониторить? Я ж говорю iptables -P INPUT DROP
и потом сделать себе в нем дырку по принципу iptables -A INPUT -s
<my_ip> --dport ssh -j ACCEPT
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm]всё время ломятся в ssh
2005-09-27 7:41 ` Alexey Morsov
@ 2005-09-27 11:56 ` unix9
2005-09-27 12:24 ` Egorov Alexey
0 siblings, 1 reply; 18+ messages in thread
From: unix9 @ 2005-09-27 11:56 UTC (permalink / raw)
To: community
>Vital Shade wrote:
>> Ssh на другой порт + portsentry решает проблему на 99% процентов.
>> А руками сидеть и мониторить логи, содавать таблицы IP которые
>> необходимо закрыть - уж больно некрасиво. IMHO.
>Какие таблицы? Чего мониторить? Я ж говорю iptables -P INPUT DROP
>и потом сделать себе в нем дырку по принципу iptables -A INPUT -s
> <my_ip> --dport ssh -j ACCEPT
А где portsentry брать? Сайт закрыт, в дистрибутиве мастера его тоже нету.
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm]всё время ломятся в ssh
2005-09-27 11:56 ` [Comm]всё " unix9
@ 2005-09-27 12:24 ` Egorov Alexey
2005-09-27 14:22 ` Re[2]: " Vital Shade
0 siblings, 1 reply; 18+ messages in thread
From: Egorov Alexey @ 2005-09-27 12:24 UTC (permalink / raw)
To: unix9, ALT Linux Community
unix9 wrote:
>> Vital Shade wrote:
>>
>>> Ssh на другой порт + portsentry решает проблему на 99% процентов.
>>> А руками сидеть и мониторить логи, содавать таблицы IP которые
>>> необходимо закрыть - уж больно некрасиво. IMHO.
>>>
>> Какие таблицы? Чего мониторить? Я ж говорю iptables -P INPUT DROP
>> и потом сделать себе в нем дырку по принципу iptables -A INPUT -s
>> <my_ip> --dport ssh -j ACCEPT
>>
>
> А где portsentry брать? Сайт закрыт, в дистрибутиве мастера его тоже нету.
>
>
Вообще-то он есть в дистрибутиве:
portsentry-1.1-alt8.i586.rpm
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm]всё время ломятся в ssh
2005-09-27 12:24 ` Egorov Alexey
@ 2005-09-27 14:22 ` Vital Shade
2005-09-28 10:30 ` [Comm] Re: всё " Michael Shigorin
0 siblings, 1 reply; 18+ messages in thread
From: Vital Shade @ 2005-09-27 14:22 UTC (permalink / raw)
To: ALT Linux Community
[-- Attachment #1: Type: text/plain, Size: 747 bytes --]
Hello Egorov,
Tuesday, September 27, 2005, 3:24:20 PM, you wrote:
> unix9 wrote:
>>> Vital Shade wrote:
>>>
>>>> Ssh на другой порт + portsentry решает проблему на 99% процентов.
>>>> А руками сидеть и мониторить логи, содавать таблицы IP которые
>>>> необходимо закрыть - уж больно некрасиво. IMHO.
>>>>
>>> Какие таблицы? Чего мониторить? Я ж говорю iptables -P INPUT DROP
>>> и потом сделать себе в нем дырку по принципу iptables -A INPUT -s
>>> <my_ip> --dport ssh -j ACCEPT
Много дырок надо, если не знаешь откуда завтра заходить по ssh будешь.
Если известны все хосты - тогда конечно. В некоторых случаях это
0.0.0.0/0 :)
--
Best regards,
Vital mailto:the_shade@tut.by
[-- Attachment #2: Type: application/pgp-signature, Size: 456 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* [Comm] Re: всё время ломятся в ssh
2005-09-27 7:18 ` Re[2]: " Vital Shade
2005-09-27 7:41 ` Alexey Morsov
@ 2005-09-28 10:14 ` Michael Shigorin
1 sibling, 0 replies; 18+ messages in thread
From: Michael Shigorin @ 2005-09-28 10:14 UTC (permalink / raw)
To: ALT Linux Community
On Tue, Sep 27, 2005 at 10:18:09AM +0300, Vital Shade wrote:
> А руками сидеть и мониторить логи, содавать таблицы IP которые
> необходимо закрыть - уж больно некрасиво. IMHO.
упоминали тут fail2ban
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- visit our conference (Oct 1):
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 18+ messages in thread
* [Comm] Re: всё время ломятся в ssh
2005-09-27 14:22 ` Re[2]: " Vital Shade
@ 2005-09-28 10:30 ` Michael Shigorin
0 siblings, 0 replies; 18+ messages in thread
From: Michael Shigorin @ 2005-09-28 10:30 UTC (permalink / raw)
To: ALT Linux Community
On Tue, Sep 27, 2005 at 05:22:19PM +0300, Vital Shade wrote:
> Много дырок надо, если не знаешь откуда завтра заходить по ssh будешь.
> Если известны все хосты - тогда конечно. В некоторых случаях это
> 0.0.0.0/0 :)
Я ж уже сказал -- knock. :)
http://alt.linux.kiev.ua/srpm/knock
PS: если sisyphus.ru говорит "error has occured" -- это не ко мне,
это к support@ про лимиты на соединения к базе.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- visit our conference (Oct 1):
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2005-09-28 10:30 UTC | newest]
Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-09-24 19:24 [Comm] всё время ломятся в ssh Vitaly Lipatov
2005-09-24 19:34 ` Владимир Гусев
2005-09-24 20:37 ` [Comm] всё время ломятся в ssh [JT] Vitaly Lipatov
2005-09-24 20:38 ` [Comm] всё время ломятся в ssh Vitaly Lipatov
2005-09-25 7:21 ` Sergey Viuchny
2005-09-26 8:28 ` ABATAPA
2005-09-26 13:48 ` Andrey Rahmatullin
2005-09-26 12:24 ` [Comm] " Michael Shigorin
2005-09-26 9:12 ` Vitaly Ostanin
2005-09-26 12:25 ` Michael Shigorin
2005-09-27 6:43 ` [Comm] " Alexey Morsov
2005-09-27 7:18 ` Re[2]: " Vital Shade
2005-09-27 7:41 ` Alexey Morsov
2005-09-27 11:56 ` [Comm]всё " unix9
2005-09-27 12:24 ` Egorov Alexey
2005-09-27 14:22 ` Re[2]: " Vital Shade
2005-09-28 10:30 ` [Comm] Re: всё " Michael Shigorin
2005-09-28 10:14 ` Michael Shigorin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git