Jestli to chápu dobře, tak aplikační démoni hlídají pouze v principu korektní stavy, tj. když není zadáno dobře heslo. Proto mi třeba fail2ban nic nezahlásil, i když iptables vidí komunikaci na port 22.
Například ohledně centrálního sběru dat má denyhosts umět ono reportování - viz např. http://denyhosts.sourceforge.net/faq.html#4_0
Sám jsem to ještě nepoužil.
V.
Ahojte,popravdě nad tímto jsem také přemýšel. Nyní mám např. SSH otevřený pro vybrané IP. Pokud bychom ale nad celým rozsahem serverů mohli mít firewall/IDS, mohlo by to být zajímavé.
Zdeněk
Web: www.pripravto.cz
pá 26. 7. 2019 v 11:41 odesílatel Jindřich Sadílek <jindrich.sadilek@gmail.com> napsal:
_______________________________________________SSHguard, fail2ban,...
Ale nějaké - dobrovolné - IDS nad celým VPSfree, které by to hlídalo celkově a umožňovalo ty útoky banovat dříve, než by to dorazilo k dalším žiletkám, by nemuselo být špatné…
Když se o to někdo bude starat :)
Jindra
Dne Pá, 26. červenec 2019 v 10:47 h uživatel David Česal napsal:
Ahoj,
SSH mám v iptables povolené jen pro vyjmenované IP adresy, jinak drop.
Fail2ban používám pro banování těch, co zkouší heslo na mailserver, podle vlastních předpisů v logu, typicky:
2019-07-26T10:00:36.625923+02:00 vpsfree postfix/smtps/smtpd[15047]: Anonymous TLS connection established from unknown[185.211.245.170]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2019-07-26T10:00:40.447499+02:00 vpsfree postfix/smtps/smtpd[15047]: warning: unknown[185.211.245.170]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
2019-07-26T10:00:40.635714+02:00 vpsfree postfix/smtps/smtpd[15047]: lost connection after AUTH from unknown[185.211.245.170]
2019-07-26T10:00:40.635790+02:00 vpsfree postfix/smtps/smtpd[15047]: disconnect from unknown[185.211.245.170] ehlo=1 auth=0/1 commands=1/2
Těch (automatizovaných) pokusů je každý den dost. Nějak to řešit jinak, to se mi zdá nereálné - banovat a nechat být.
David
-----Original Message-----
From: Community-list <community-list-bounces@lists.vpsfree.cz> On Behalf Of Vašek Kratochvíl
Sent: Friday, July 26, 2019 10:37 AM
Subject: [vpsFree.cz: community-list] Sdílený / společný abuse report / management
Dobrý den, ahoj všem,
v principu pokračuju ve vláknu "Sirka pasma" (původně začlo v
a pokračovalo legálností a tak.
Mám otázku: vidím na své vpsce nějaké neslušné aktivity, scany, asi hádání hesel a tak. Máte zájem to řešit nějak společně? Případně se můžete vyjádřit, že vás to zrovna nezajímá :-)
Teoreticky bych mohl někomu posílat seznam třeba zajímavých událostí s četností více než 10 výskytů za den. Pokud by to bylo třeba u třetiny členů, mělo by to větší vypovídající hodnotu.
Překvapilo mne, že mam cca 19.000 výskytů v přístupu na ssh za den, fail2ban nic, v iptables cca v řádu vteřin, ale nejsem si jistý, co to bylo za aplikační provoz. Čili jestli to není něco nového, 25. 7. cca v
8:27 SELČ to skončilo.
Pokud už něco takového je, můžete dát vědět.
S pozdravem
Vencour
_______________________________________________
Community-list mailing list
_______________________________________________
Community-list mailing list
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list