* [Sysadmins] I: sshutout @ 2008-07-05 20:39 ` Michael Shigorin 2008-07-06 13:23 ` Sergey 2008-07-07 5:16 ` Anton Kvashin 0 siblings, 2 replies; 10+ messages in thread From: Michael Shigorin @ 2008-07-05 20:39 UTC (permalink / raw) To: sysadmins On Fri, Jul 04, 2008 at 03:01:08AM +0400, QA Team Robot wrote: > sshutout - Stop SSH dictionary attacks > * Thu Jul 03 2008 Michael Shigorin <mike@altlinux> 1.0.5-alt1 > - built for ALT Linux Посмотрел в очередной раз на спам в логах, решил, что надоело, озадачился вопросом "так что у нас есть для блокирования паролеподборочных дятлов". Оказалось, что есть только BlockHosts с одним достоинством (сборка lav@) и недостатками в виде избыточной функциональности скрипта на питоне. Озадачился поискать чего-нить мелкого, сишного, рабочего "из коробки", с грамотной домашней страничкой. Нашёл sshguard (BSDL, также есть в Debian) и sshutout (GPL). По ряду факторов, включая опять же избыточную функциональность, совершенно бессмысленную в пакете под ALT Linux, остановился на sshutout -- каковой и добрался в Sisyphus. Также отправлена сборка для M40. Комментарии приветствуются ;-) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-05 20:39 ` [Sysadmins] I: sshutout Michael Shigorin @ 2008-07-06 13:23 ` Sergey 2008-07-06 21:00 ` Michael Shigorin 2008-07-07 5:16 ` Anton Kvashin 1 sibling, 1 reply; 10+ messages in thread From: Sergey @ 2008-07-06 13:23 UTC (permalink / raw) To: sysadmins On Sunday 06 July 2008, Michael Shigorin wrote: > > sshutout - Stop SSH dictionary attacks > > * Thu Jul 03 2008 Michael Shigorin <mike@altlinux> 1.0.5-alt1 > > - built for ALT Linux > > Посмотрел в очередной раз на спам в логах, решил, что надоело, > озадачился вопросом "так что у нас есть для блокирования > паролеподборочных дятлов". меня вполне спасает iptables. Вроде бы никто не возвращается, наткнувшись на минутную блокировку по recent. Я уже писал вроде... И в настройки по-умолчанию предлагал добавить... -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-06 13:23 ` Sergey @ 2008-07-06 21:00 ` Michael Shigorin 2008-07-07 4:39 ` Sergey 0 siblings, 1 reply; 10+ messages in thread From: Michael Shigorin @ 2008-07-06 21:00 UTC (permalink / raw) To: sysadmins On Sun, Jul 06, 2008 at 06:23:14PM +0500, Sergey wrote: > > > sshutout - Stop SSH dictionary attacks > > > * Thu Jul 03 2008 Michael Shigorin <mike@altlinux> 1.0.5-alt1 > > > - built for ALT Linux > > Посмотрел в очередной раз на спам в логах, решил, что > > надоело, озадачился вопросом "так что у нас есть для > > блокирования паролеподборочных дятлов". > меня вполне спасает iptables. Вроде бы никто не возвращается, > наткнувшись на минутную блокировку по recent. Я уже писал > вроде... И в настройки по-умолчанию предлагал добавить... Э... а можешь форварднуть? Эта штука тоже в iptables засовывает на профилактическое время. Пока в размышлениях, как использовать при VE<->HN с учётом того, что raorn@ писал про oops при использовании 32-битного iptables с 64-битным ядром -- похоже, резонно логать "наверх". Впрочем, это как раз было понятно заранее для любого варианта с iptables (которые мне лично куда милей записи в /etc). -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-06 21:00 ` Michael Shigorin @ 2008-07-07 4:39 ` Sergey 2008-07-07 10:48 ` Timur Batyrshin 2008-07-07 17:33 ` Dmitry V. Levin 0 siblings, 2 replies; 10+ messages in thread From: Sergey @ 2008-07-07 4:39 UTC (permalink / raw) To: sysadmins On Monday 07 July 2008, Michael Shigorin wrote: > > меня вполне спасает iptables. Вроде бы никто не возвращается, > > наткнувшись на минутную блокировку по recent. Я уже писал > > вроде... И в настройки по-умолчанию предлагал добавить... > > Э... а можешь форварднуть? Примерно вот так: -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-07 4:39 ` Sergey @ 2008-07-07 10:48 ` Timur Batyrshin 2008-07-07 17:33 ` Dmitry V. Levin 1 sibling, 0 replies; 10+ messages in thread From: Timur Batyrshin @ 2008-07-07 10:48 UTC (permalink / raw) To: sysadmins [-- Attachment #1: Type: text/plain, Size: 1393 bytes --] On Mon, 7 Jul 2008 09:39:12 +0500 Sergey wrote: > > > меня вполне спасает iptables. Вроде бы никто не возвращается, > > > наткнувшись на минутную блокировку по recent. Я уже писал > > > вроде... И в настройки по-умолчанию предлагал добавить... > > > > Э... а можешь форварднуть? > > Примерно вот так: > > -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m > recent --set --name ssh_rate_limit --rsource -A INPUT -p tcp -m tcp > --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update > --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG -A > INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m > recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit > --rsource -j DROP > Здесь бы, кстати, еще принудительно интерфейс указывать, т.к. на veth есть вполне реальная возможность не попасть на ssh вообще, когда статистика об одном и тот же пакет будет складываться в очередь несколько раз -- по разу на каждый из виртуальных интерфейсов. [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-07 4:39 ` Sergey 2008-07-07 10:48 ` Timur Batyrshin @ 2008-07-07 17:33 ` Dmitry V. Levin 2008-07-08 12:26 ` Sergey 1 sibling, 1 reply; 10+ messages in thread From: Dmitry V. Levin @ 2008-07-07 17:33 UTC (permalink / raw) To: sysadmins [-- Attachment #1: Type: text/plain, Size: 903 bytes --] On Mon, Jul 07, 2008 at 09:39:12AM +0500, Sergey wrote: > On Monday 07 July 2008, Michael Shigorin wrote: > > > > меня вполне спасает iptables. Вроде бы никто не возвращается, > > > наткнувшись на минутную блокировку по recent. Я уже писал > > > вроде... И в настройки по-умолчанию предлагал добавить... > > > > Э... а можешь форварднуть? > > Примерно вот так: > > -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource > -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG > -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP Рекомендую завести себе -j LOGDROP, избыточность правил уменьшится почти в 2 раза. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-07 17:33 ` Dmitry V. Levin @ 2008-07-08 12:26 ` Sergey 2008-07-08 12:32 ` Dmitry V. Levin 0 siblings, 1 reply; 10+ messages in thread From: Sergey @ 2008-07-08 12:26 UTC (permalink / raw) To: sysadmins On Monday 07 July 2008, Dmitry V. Levin wrote: > Рекомендую завести себе -j LOGDROP Что-то я его не заметил в своё время... Спасибо. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-08 12:26 ` Sergey @ 2008-07-08 12:32 ` Dmitry V. Levin 2008-07-08 12:39 ` Sergey 0 siblings, 1 reply; 10+ messages in thread From: Dmitry V. Levin @ 2008-07-08 12:32 UTC (permalink / raw) To: sysadmins [-- Attachment #1: Type: text/plain, Size: 277 bytes --] On Tue, Jul 08, 2008 at 05:26:59PM +0500, Sergey wrote: > On Monday 07 July 2008, Dmitry V. Levin wrote: > > > Рекомендую завести себе -j LOGDROP > > Что-то я его не заметил в своё время... Спасибо. Так ведь его нет, рекомендую создать и использовать. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-08 12:32 ` Dmitry V. Levin @ 2008-07-08 12:39 ` Sergey 0 siblings, 0 replies; 10+ messages in thread From: Sergey @ 2008-07-08 12:39 UTC (permalink / raw) To: sysadmins On Tuesday 08 July 2008, Dmitry V. Levin wrote: > > > Рекомендую завести себе -j LOGDROP > > > > Что-то я его не заметил в своё время... Спасибо. > > Так ведь его нет, рекомендую создать и использовать. А, теперь дошло. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] I: sshutout 2008-07-05 20:39 ` [Sysadmins] I: sshutout Michael Shigorin 2008-07-06 13:23 ` Sergey @ 2008-07-07 5:16 ` Anton Kvashin 1 sibling, 0 replies; 10+ messages in thread From: Anton Kvashin @ 2008-07-07 5:16 UTC (permalink / raw) To: ALT Linux sysadmin discuss Michael Shigorin пишет: > On Fri, Jul 04, 2008 at 03:01:08AM +0400, QA Team Robot wrote: >> sshutout - Stop SSH dictionary attacks >> * Thu Jul 03 2008 Michael Shigorin <mike@altlinux> 1.0.5-alt1 >> - built for ALT Linux > > Посмотрел в очередной раз на спам в логах, решил, что надоело, > озадачился вопросом "так что у нас есть для блокирования > паролеподборочных дятлов". > > Озадачился поискать чего-нить мелкого, сишного, рабочего > "из коробки", с грамотной домашней страничкой. > > Нашёл sshguard (BSDL, также есть в Debian) и sshutout (GPL). > > По ряду факторов, включая опять же избыточную функциональность, > совершенно бессмысленную в пакете под ALT Linux, остановился на > sshutout -- каковой и добрался в Sisyphus. > > Комментарии приветствуются ;-) fail2ban (python), умеет блочить (iptables, tcpwrapper) sasl, ssh, ftp, http (+badbots), smtp. -- Anton Kvashin ^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2008-07-08 12:39 UTC | newest] Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2008-07-05 20:39 ` [Sysadmins] I: sshutout Michael Shigorin 2008-07-06 13:23 ` Sergey 2008-07-06 21:00 ` Michael Shigorin 2008-07-07 4:39 ` Sergey 2008-07-07 10:48 ` Timur Batyrshin 2008-07-07 17:33 ` Dmitry V. Levin 2008-07-08 12:26 ` Sergey 2008-07-08 12:32 ` Dmitry V. Levin 2008-07-08 12:39 ` Sergey 2008-07-07 5:16 ` Anton Kvashin
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git