maximum ssh spojení za minutu

Sekcia: Konfigurácia 20.08.2009 | 10:37
milan   Návštevník
Dá sa niekde v konfigu nastaviť maximálny počet spojení na ssh server trebárs za minútu?
    • Re: maximum ssh spojení za minutu 20.08.2009 | 11:03
      Avatar Lukáš Staňa Arch, CentOS, Debian  Používateľ
      Niečo také možno pomôže :)
      iptables -A INPUT -p tcp --dport 22 --syn -m limit --limit 10/minute --limit-burst 15 -j ACCEPT
      iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix SSH-DROP
      iptables -A INPUT -p tcp --dport 22 -j REJECT
      Tu to naozaj nemá ani kultúru ani úroveň
      • Re: maximum ssh spojení za minutu 20.08.2009 | 11:26
        milan   Návštevník
        a kam s tým do sshd.conf nebo jen spustit
        • Re: maximum ssh spojení za minutu 20.08.2009 | 12:28
          Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
          Tie prikazy nastavuju firewall. Problem je, ze ked ich len tak spustis, nemusia spravit to, co chces, kedze zalezi aj na tom, ake mas momentalne uz aktivne pravidla.
          Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: maximum ssh spojení za minutu 20.08.2009 | 12:12
        Peter S.   Návštevník
        prečo --syn, a nie napríklad "-m state --state NEW"

        len sa pýtam, nechcem podpichovať :)
        • Re: maximum ssh spojení za minutu 20.08.2009 | 12:41
          milan   Návštevník
          ide mi o to , že nejaký fešák sa mi snaží dostať na ssh server a potrebujem ho odstrihnúť. Na routeri so obmedzil vzdialenú ip iba na jednu, zapol mac filtering a ešte by som chcel toto obmedzenie. Skúša to už 5 dní zrejme hrubou silou.
          • Re: maximum ssh spojení za minutu 20.08.2009 | 12:49
            Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
            Peter S. narazal na to, ze v prvom prikaze bolo pouzite "--syn" miesto "-m state --state NEW", ktore je odporucane.
            Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
          • Re: maximum ssh spojení za minutu 20.08.2009 | 21:43
            Avatar Lukáš Staňa Arch, CentOS, Debian  Používateľ
            V tom prípade to rieš napríklad cez program fail2ban.
            Tu to naozaj nemá ani kultúru ani úroveň
          • Re: maximum ssh spojení za minutu 21.08.2009 | 18:08
            Avatar zixo Ubuntu, Debian  Používateľ
            Ahoj ako tu uz niekto spomenul, pouzi fail2ban je to supabomba :) ak mas public server tak tych pokusov bude velmi vela
            2.6.28-15-generic x86_64 GNU/Linux
      • Re: maximum ssh spojení za minutu 20.08.2009 | 15:58
        milan   Návštevník
        tak som zadal do terminálu. Zmenil som len "--limit 3/minute" a teraz sa na ssh server vôbec nedostanem
        • Re: maximum ssh spojení za minutu 20.08.2009 | 17:20
          Peter S.   Návštevník
          v akej verzii si to tam zadal?
          dropnute ssh spojenie by si mal vidieť v /var/log/messages, môžeš skúsiť
          grep SSH-DROP /var/log/messages
          a to by ti malo ukázať tvoje odmietnuté pokusy o pripojenie...

          a tie tri riadky by mohli vyzerať radšej takto:
          iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 10/minute --limit-burst 15 -j ACCEPT
          iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix SSH-DROP
          iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j REJECT

          pozmenil som najmä treti riadok...
          máš firewal? aby si tie pravidla nezadaval viackrat (čo by nerobilo dobrotu, mal by si najprv vyprázdniť pravidla s
          iptables --flush
          a potom spustiť tie tri riadky....

          to predpokladá že inak iptables nemáš nastavené ...
          • Re: maximum ssh spojení za minutu 20.08.2009 | 17:22
            Peter S.   Návštevník
            hm, a máš nesúlad v tom, že loguješ to ako DROP ale pravidlo máš REJECT, ale to je iba kozmetická vec....
          • Re: maximum ssh spojení za minutu 20.08.2009 | 17:25
            Peter S.   Návštevník
            A ešte by som zmenil aj druhý riadok, aby si nelogoval VSETKY packety na port 22:

            iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 10/minute --limit-burst 15 -j ACCEPT
            iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix SSH-DROP
            iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j REJECT
            • Re: maximum ssh spojení za minutu 20.08.2009 | 19:25
              milan   Návštevník
              server som zatiaľ odstavil zajtra to otestujem. Zatiaľ díky. P.S. prečo nemá niečo také sshd priamo v sebe?
              • Re: maximum ssh spojení za minutu 20.08.2009 | 19:40
                Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
                Pripadne radsej sem pastni vypis iptables -vL, aby bolo iste, ze sa to nebije s inymi pravidlami.
                Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
          • Re: maximum ssh spojení za minutu 21.08.2009 | 10:36
            milan   Návštevník
            niečo sa tam muselo zmrviť lebo teraz nefunguje ani samba nemožem pingnúť jeden stroj, proste to niekde blokuje komplet prístup na server. Predtým než som zadal tie pravidlá fungovalo všetko OK. Iný firewall nie je aktivovaný. Mám tam ufw ale ten je "inactive" Zadal som "iptables --flush" a potom "iptables -vL" výpis mu trvá asi 30s, predtým to bolo bleskove, tu je:

            http://openpaste.org/16303/
            • Re: maximum ssh spojení za minutu 21.08.2009 | 11:52
              Peter S.   Návštevník
              no moment, po iptables --flush by iptables -L malo hádzať, niečo také:

              Chain INPUT (policy DROP)

              Chain FORWARD (policy DROP)

              Chain OUTPUT (policy DROP)

              proste žiadne pravidla. Ako vidím ty maš všade defaultnu politiku DROP, čo ozaj znamená, že defaultne máš všetky packety dropnuté. A z tejto politiky robíš výnimky pravidlami....

              Mohol si mať všetky politiky ACCEPT a potom by pri vyprázdenení pravidiel si mal všetko povolené.

              no aby sme to nejako zhrnuli, ak máš už na systéme iný firewal, je trošku problém integrovať tvoje dodatočné pravidlá s firewalom. Ako som sa na to pozeral, ale v tvojom prípade by to problém nemusel byť. Stačí ak obnovíš pravidla (to čo si tam pastol) a ku nim pripojíš (spustíš) tie tri riadky ktoré sme ti tu dali...
              • Re: maximum ssh spojení za minutu 21.08.2009 | 13:48
                milan   Návštevník
                teraz po zadaní iptables --flush sa to konečne vyprázdnilo a je to ako píšeš a ssh funguje. Ešte by ma zaujímalo ten limit je v čom? to sú počty paketov, spojení resp. vláken na ssh server alebo počet userov prihlásených na ssh server
                • Re: maximum ssh spojení za minutu 21.08.2009 | 14:07
                  milan   Návštevník
                  našiel som ešte tieto voľby v sshd.conf:

                  MaxAuthTries - dal som 3
                  LoginGraceTime dal som 10
                  MaxStartups dal som 10:30:60

                • Re: maximum ssh spojení za minutu 21.08.2009 | 14:51
                  Peter S.   Návštevník
                  limituješ nove packety, teda packety ktoré nesúvisia s už otvoreným spojením. Teda pri každom pokuse o pripojenie je prvý packet 'nový'*...
                  Ty máš povolených 10 pripojení (nových packetov) na port 22 za minútu a v každom sa môže (to je definované cez MaxAuthTries - teda priamo na sshd) druhá strana pokusiť o 3 prihlásienia (skusiť tri krát heslo).

                  ten limit-burst, tomu celkom nerozumiem, ale podľa mna by to číslo malo byť menšie ako limit

                  *ak je už spojenie nadviazané všetky dalšie packety su established/related....
                  • Re: maximum ssh spojení za minutu 21.08.2009 | 20:38
                    anes   Návštevník
    • Re: maximum ssh spojení za minutu 20.08.2009 | 23:45
      peter   Návštevník
      mozes skusit pam modul - pam-faildelay

      v subore /etc/pam.d/system-auth dopis

      auth optional pam_faildelay.so delay=30000000

      hned za

      auth sufficient pam_unix.so nullok try_first_pass

      (u mna som to dopisal na 3 riadok)

      ked sa bude niekto hlasit (ssh, telnet, ftp, consola, gdm, ...) tak po zadani zleho hesla bude pauza 30 sekund (to delay je vmikrosekundach, preto je tam tolko nul). Ak skusa bruteforce heslo tak ho to dost spomaly.



      • Re: maximum ssh spojení za minutu 01.09.2009 | 22:27
        milan   Návštevník
        celkom slušný program na takýchto parazitov:
        http://www.root.cz/clanky/blokujte-ssh-utoky-pomoci-denyhosts/