|
Название: настройка sshguard-pf Отправлено: versus от 29 Декабря 2009, 11:00:48 Всем привет!
Разбудили меня сегодня звонком, что все пропало, кто то взломал сервер. Зайдя в логи и проведя профилактику, понял что не так страшен черт как его малюют. Итак имеем большой поток брутфорса на 22 порт. Соотвественно в логе много сообщений вида error: PAM: authentication error for root from 23.45.67.89 Ну я то например вобще то рекомендую отказыватся от паролей в пользу ключей, но иногда ключей нет под рукой или пароль для владельца сервера проще запомнить чем возится с ключами. Итак имеем брутфорс, надо отрубать попытки подобрать пароль. Быстро просмотрев методы защиты остановился на sshguard, который судя по описанию умеет добавлять в файрвол правила блокировки для брутфорщика. Sshguard умеет работать со многими типами файрволов, поэтому посмотрев настройки, я пришел к выводу, что трогать настроенный ipfw не стану, а добавлю правила в pf Для тех кому интерсно привожу свои действия: 1. установка cd /usr/ports/security/sshguard-pf make install clean 2. включим sshguard в обработчик sysloga ee /etc/syslog.conf раскомментируем строку auth.info;authpriv.info |exec /usr/local/sbin/sshguard 3. перезапускаем syslogd /etc/rc.d/syslogd reload проверяем работает ли ? # ps ax|grep syslog 821 ?? Ss 0:00.03 /usr/sbin/syslogd -s 4. Пришла пора занятся файрволом ee /etc/pf.conf Прописываем правила на все интерфейсы, в итоге у нас получился файл: set limit states 128000 set optimization aggressive nat pass on nfe0 from 10.0.0.0/8 to any -> em0 nat pass on nfe0 from 192.168.0.0/24 to any -> em0 nat pass on tun0 from 192.168.0.0/24 to any -> tun0 table <sshguard> persist block in quick on em0 proto tcp from <sshguard> to any port 22 label "ssh bruteforce" block in quick on em1 proto tcp from <sshguard> to any port 22 label "ssh bruteforce" block in quick on tun0 proto tcp from <sshguard> to any port 22 label "ssh bruteforce" Сохраняем и перезапускаем pfctl -f /etc/pf.conf смотрим syslog и работу sshguard cat /var/log/messages sshguard[7908]: Blocking 23.45.67.89: 4 failures over 78 seconds. Что там в файрволе pfctl -Tshow -tsshguard No ALTQ support in kernel ALTQ related functions disabled 23.45.67.89 Собственно все, блокировка брутфорщика включена. Название: Re: настройка sshguard-pf Отправлено: goletsa от 29 Декабря 2009, 16:12:24 Есть еще хороший метод - закрывать доступ по ssh снаружи и заходить через промежуточный сервер который в белом списке.
Название: Re: настройка sshguard-pf Отправлено: Aivanzipper от 29 Декабря 2009, 16:46:49 еще можно сменить стандартный 22 порт на любой другой - боты намного меньше ломиться будут, хотя это не панацея
Название: Re: настройка sshguard-pf Отправлено: versus от 30 Декабря 2009, 20:54:58 еще есть порт кнокинг, все это хорошие и нужные вещи, я просто описал свой опыт как быстро отрубить ботов. То что защиты много не бывает согласен полностью и ваши методы правильные.
Название: Re: настройка sshguard-pf Отправлено: sedo26 от 31 Августа 2014, 23:29:45 Может кому-то понадобится
для очистки онного # pfctl -tsshguard -Tflush |