Tie prikazy nastavuju firewall. Problem je, ze ked ich len tak spustis, nemusia spravit to, co chces, kedze zalezi aj na tom, ake mas momentalne uz aktivne pravidla.
Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
Re: maximum ssh spojení za minutu
20.08.2009 | 12:12
Peter S.Návštevník
prečo --syn, a nie napríklad "-m state --state NEW"
len sa pýtam, nechcem podpichovať :)
Re: maximum ssh spojení za minutu
20.08.2009 | 12:41
milanNávštevník
ide mi o to , že nejaký fešák sa mi snaží dostať na ssh server a potrebujem ho odstrihnúť. Na routeri so obmedzil vzdialenú ip iba na jednu, zapol mac filtering a ešte by som chcel toto obmedzenie. Skúša to už 5 dní zrejme hrubou silou.
Re: maximum ssh spojení za minutu
20.08.2009 | 12:49
Peter S. narazal na to, ze v prvom prikaze bolo pouzite "--syn" miesto "-m state --state NEW", ktore je odporucane.
Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
Re: maximum ssh spojení za minutu
20.08.2009 | 21:43
Ahoj ako tu uz niekto spomenul, pouzi fail2ban je to supabomba :) ak mas public server tak tych pokusov bude velmi vela
2.6.28-15-generic x86_64 GNU/Linux
Re: maximum ssh spojení za minutu
20.08.2009 | 15:58
milanNávštevník
tak som zadal do terminálu. Zmenil som len "--limit 3/minute" a teraz sa na ssh server vôbec nedostanem
Re: maximum ssh spojení za minutu
20.08.2009 | 17:20
Peter S.Návštevník
v akej verzii si to tam zadal?
dropnute ssh spojenie by si mal vidieť v /var/log/messages, môžeš skúsiť
grep SSH-DROP /var/log/messages
a to by ti malo ukázať tvoje odmietnuté pokusy o pripojenie...
a tie tri riadky by mohli vyzerať radšej takto:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 10/minute --limit-burst 15 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix SSH-DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j REJECT
pozmenil som najmä treti riadok...
máš firewal? aby si tie pravidla nezadaval viackrat (čo by nerobilo dobrotu, mal by si najprv vyprázdniť pravidla s
iptables --flush
a potom spustiť tie tri riadky....
to predpokladá že inak iptables nemáš nastavené ...
Re: maximum ssh spojení za minutu
20.08.2009 | 17:22
Peter S.Návštevník
hm, a máš nesúlad v tom, že loguješ to ako DROP ale pravidlo máš REJECT, ale to je iba kozmetická vec....
Re: maximum ssh spojení za minutu
20.08.2009 | 17:25
Peter S.Návštevník
A ešte by som zmenil aj druhý riadok, aby si nelogoval VSETKY packety na port 22:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 10/minute --limit-burst 15 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix SSH-DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j REJECT
Re: maximum ssh spojení za minutu
20.08.2009 | 19:25
milanNávštevník
server som zatiaľ odstavil zajtra to otestujem. Zatiaľ díky. P.S. prečo nemá niečo také sshd priamo v sebe?
Re: maximum ssh spojení za minutu
20.08.2009 | 19:40
Pripadne radsej sem pastni vypis iptables -vL, aby bolo iste, ze sa to nebije s inymi pravidlami.
Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
Re: maximum ssh spojení za minutu
21.08.2009 | 10:36
milanNávštevník
niečo sa tam muselo zmrviť lebo teraz nefunguje ani samba nemožem pingnúť jeden stroj, proste to niekde blokuje komplet prístup na server. Predtým než som zadal tie pravidlá fungovalo všetko OK. Iný firewall nie je aktivovaný. Mám tam ufw ale ten je "inactive" Zadal som "iptables --flush" a potom "iptables -vL" výpis mu trvá asi 30s, predtým to bolo bleskove, tu je:
http://openpaste.org/16303/
Re: maximum ssh spojení za minutu
21.08.2009 | 11:52
Peter S.Návštevník
no moment, po iptables --flush by iptables -L malo hádzať, niečo také:
Chain INPUT (policy DROP)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy DROP)
proste žiadne pravidla. Ako vidím ty maš všade defaultnu politiku DROP, čo ozaj znamená, že defaultne máš všetky packety dropnuté. A z tejto politiky robíš výnimky pravidlami....
Mohol si mať všetky politiky ACCEPT a potom by pri vyprázdenení pravidiel si mal všetko povolené.
no aby sme to nejako zhrnuli, ak máš už na systéme iný firewal, je trošku problém integrovať tvoje dodatočné pravidlá s firewalom. Ako som sa na to pozeral, ale v tvojom prípade by to problém nemusel byť. Stačí ak obnovíš pravidla (to čo si tam pastol) a ku nim pripojíš (spustíš) tie tri riadky ktoré sme ti tu dali...
Re: maximum ssh spojení za minutu
21.08.2009 | 13:48
milanNávštevník
teraz po zadaní iptables --flush sa to konečne vyprázdnilo a je to ako píšeš a ssh funguje. Ešte by ma zaujímalo ten limit je v čom? to sú počty paketov, spojení resp. vláken na ssh server alebo počet userov prihlásených na ssh server
Re: maximum ssh spojení za minutu
21.08.2009 | 14:07
milanNávštevník
našiel som ešte tieto voľby v sshd.conf:
MaxAuthTries - dal som 3
LoginGraceTime dal som 10
MaxStartups dal som 10:30:60
Re: maximum ssh spojení za minutu
21.08.2009 | 14:51
Peter S.Návštevník
limituješ nove packety, teda packety ktoré nesúvisia s už otvoreným spojením. Teda pri každom pokuse o pripojenie je prvý packet 'nový'*...
Ty máš povolených 10 pripojení (nových packetov) na port 22 za minútu a v každom sa môže (to je definované cez MaxAuthTries - teda priamo na sshd) druhá strana pokusiť o 3 prihlásienia (skusiť tri krát heslo).
ten limit-burst, tomu celkom nerozumiem, ale podľa mna by to číslo malo byť menšie ako limit
*ak je už spojenie nadviazané všetky dalšie packety su established/related....
Re: maximum ssh spojení za minutu
21.08.2009 | 20:38
Re: maximum ssh spojení za minutu
20.08.2009 | 23:45
peterNávštevník
mozes skusit pam modul - pam-faildelay
v subore /etc/pam.d/system-auth dopis
auth optional pam_faildelay.so delay=30000000
hned za
auth sufficient pam_unix.so nullok try_first_pass
(u mna som to dopisal na 3 riadok)
ked sa bude niekto hlasit (ssh, telnet, ftp, consola, gdm, ...) tak po zadani zleho hesla bude pauza 30 sekund (to delay je vmikrosekundach, preto je tam tolko nul). Ak skusa bruteforce heslo tak ho to dost spomaly.
Re: maximum ssh spojení za minutu
01.09.2009 | 22:27
milanNávštevník
celkom slušný program na takýchto parazitov:
http://www.root.cz/clanky/blokujte-ssh-utoky-pomoci-denyhosts/
iptables -A INPUT -p tcp --dport 22 --syn -m limit --limit 10/minute --limit-burst 15 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix SSH-DROP
iptables -A INPUT -p tcp --dport 22 -j REJECT
len sa pýtam, nechcem podpichovať :)
dropnute ssh spojenie by si mal vidieť v /var/log/messages, môžeš skúsiť
grep SSH-DROP /var/log/messages
a to by ti malo ukázať tvoje odmietnuté pokusy o pripojenie...
a tie tri riadky by mohli vyzerať radšej takto:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 10/minute --limit-burst 15 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix SSH-DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j REJECT
pozmenil som najmä treti riadok...
máš firewal? aby si tie pravidla nezadaval viackrat (čo by nerobilo dobrotu, mal by si najprv vyprázdniť pravidla s
iptables --flush
a potom spustiť tie tri riadky....
to predpokladá že inak iptables nemáš nastavené ...
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 10/minute --limit-burst 15 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix SSH-DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j REJECT
iptables -vL
, aby bolo iste, ze sa to nebije s inymi pravidlami.http://openpaste.org/16303/
Chain INPUT (policy DROP)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy DROP)
proste žiadne pravidla. Ako vidím ty maš všade defaultnu politiku DROP, čo ozaj znamená, že defaultne máš všetky packety dropnuté. A z tejto politiky robíš výnimky pravidlami....
Mohol si mať všetky politiky ACCEPT a potom by pri vyprázdenení pravidiel si mal všetko povolené.
no aby sme to nejako zhrnuli, ak máš už na systéme iný firewal, je trošku problém integrovať tvoje dodatočné pravidlá s firewalom. Ako som sa na to pozeral, ale v tvojom prípade by to problém nemusel byť. Stačí ak obnovíš pravidla (to čo si tam pastol) a ku nim pripojíš (spustíš) tie tri riadky ktoré sme ti tu dali...
MaxAuthTries - dal som 3
LoginGraceTime dal som 10
MaxStartups dal som 10:30:60
Ty máš povolených 10 pripojení (nových packetov) na port 22 za minútu a v každom sa môže (to je definované cez MaxAuthTries - teda priamo na sshd) druhá strana pokusiť o 3 prihlásienia (skusiť tri krát heslo).
ten limit-burst, tomu celkom nerozumiem, ale podľa mna by to číslo malo byť menšie ako limit
*ak je už spojenie nadviazané všetky dalšie packety su established/related....
v subore /etc/pam.d/system-auth dopis
auth optional pam_faildelay.so delay=30000000
hned za
auth sufficient pam_unix.so nullok try_first_pass
(u mna som to dopisal na 3 riadok)
ked sa bude niekto hlasit (ssh, telnet, ftp, consola, gdm, ...) tak po zadani zleho hesla bude pauza 30 sekund (to delay je vmikrosekundach, preto je tam tolko nul). Ak skusa bruteforce heslo tak ho to dost spomaly.
http://www.root.cz/clanky/blokujte-ssh-utoky-pomoci-denyhosts/