2015-07-17 11:02 GMT+02:00 Tomas Meszaros meszaros@advice.sk:
Cus, co vsetko odporucas ponastavovat za tych 30 sekund? :)
Na internete najdes bzilion tutorialov a examplov.
Kazdopadne, ak ta teda zaujima ssh hlavne, tak:
/etc/fail2ban/jail.d/sshd.local:
[ssh-iptables] enabled = true filter = sshd # je to pouzity filter z /etc/fail2ban/filter.d, su nejake preddefinovane a funguju ok action = iptables[name=SSH, port=ssh, protocol=tcp] logpath = /var/log/secure maxretry = 3 # pocet spatnych pokusov, po ktorych udeli ban bantime = 12345 # pocet sekund
A nastartuje service.
S tymto zakladom zijem nejaky ten rok a nemozem sa stazovat. Nie je to urcite vsemozne, ale staci.
Zoznam nestastnikov si vies vylistovat z iptables: $ iptables -L
Brano
Tomas
On 16 Jul 2015, at 22:37, Branislav Blaskovic branislav@blaskovic.sk wrote:
2015-07-16 21:07 GMT+02:00 Lukáš Šembera semberal@gmail.com:
Ahoj,
chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7 instanci varovani, ze od posledniho uspesneho prihlaseni probehlo desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo, podival jsem se do logu a nasledovalo zdeseni:
[root@home ~]# cat /var/log/secure | grep Failed | wc -l 21302
Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci DenyHosts, fail2ban apod.
Ja odporucam fail2ban. Mam tam tusim 3 neuspesne pokusy a dostanu sa do jailu 24 hodin (alebo nejak tak som to nastavoval).
Postacuje to celkom luxusne a nastavenie trva 30 sekund.
Jsem v administraci serveru zacatecnik, tak by me zajimaly vase nazory, jak se s timto vyporadavate vy. Predem diky!
S pozdravem Lukas Sembera
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list