бан за ошибки при авторизации SSH

бан за ошибки при авторизации SSH

Сообщение Olej » 25 янв 2017, 19:17

Мне попадались на глаза 3 проекта, которые анализируют логи ошибочных подключений, и, когда число этих ошибочных попыток ввода пароля превосходит порог, банят это имя пользователя ... на временной интервал или навсегда.

fail2ban , denyhosts , sshutout

С fail2ban всё более-менее понятно...
denyhosts - последняя версия 2.6 это конец 2008г.
sshutout - по-моему, жил и живёт только в ALT Linux...

Кто может а). внести ясность по этим инструментам (2-м последним) или б). дополнить список подобных инструментов.
Olej
 
Стаж: 48 лет 11 месяцев 15 дней

бан за ошибки при авторизации SSH

Спонсор

Спонсор
 

Re: бан за ошибки при авторизации SSH

Сообщение Olej » 26 янв 2017, 18:11

Olej писал(а):

С fail2ban всё более-менее понятно...
denyhosts - последняя версия 2.6 это конец 2008г.
sshutout - по-моему, жил и живёт только в ALT Linux...

Кто может а). внести ясность по этим инструментам (2-м последним) или б). дополнить список подобных инструментов.


В свежих дистрибутивах даже из стандартных репозиториев:
Код: выделить все
[olej@dell home]$ sudo dnf install fail2ban
...

Код: выделить все
[olej@dell home]$ dnf list denyhosts*
Последняя проверка окончания срока действия метаданных: 15 days, 13:30:53 назад, Tue Jan 10 12:29:09 2017.
Доступные пакеты
denyhosts.noarch


В дополнение, в тех же целях можно элегантно использовать Linux подсистему PAM (Pluggable Authentication Modules).

Вот уже 3 средства, которых (каждого из них, собственно) достаточно, чтобы полностью похоронить надежды на брутфорс и подбор паролей доступа ... со 100% вероятностью.

Пока здесь только перечисление доступных для этих целей инструментов, кому мможет стать интересно.
А детальное описание установки, настройки и использования каждого будет позже ... в рамках подготавливаемого большого текста "Прочь, малолетние хакеры!".
Olej
 
Стаж: 48 лет 11 месяцев 15 дней

Re: бан за ошибки при авторизации SSH

Сообщение Olej » 01 фев 2017, 21:27

Утверждается, что запретить SSH так, чтобы после 3-х, скажем, неудачных попытках подбора пароля SSH, доступ по SSH блокировался средствами стандартного PAM (Pluggable Authentication Modules)?
Подсказка - нужно что-то дописать в /etc/pam.d/sshd ...
И это что-то как-то раньше работало, и выглядело так:
Код: выделить все
auth       required     pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=120
...
account    required     pam_tally2.so

Код: выделить все
После этого журналирование неудачных попыток в /var/log/tallylog - происходит:
[root@dell pam.d]# pam_tally2
Login           Failures Latest failure     From
bastard             3    02/01/17 19:56:43  192.168.1.103

Но бан SSH доступа на 120 секунд не наблюдается!
Что не так?

Или, может, нужно для sshd как-то разрешить PAM в его конфигурациях /etc/ssh/sshd_config ?
... если оно по дефаулту как-то запрещено...
Olej
 
Стаж: 48 лет 11 месяцев 15 дней


Вернуться в Сети. Настройка и администрирование

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1