Вопросы по соединению с sshd.

2008/12/11 Strong and Humble <strong.andhumb***@g*****.com>

Тогда уже по ключу и фразе (а не по паролю)

Тоже интересно

fail2ban

http://sozinov.blogspot.com/2007/03/fail2ban.html

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35359; Возраст листа: 1966; Участников: 1496
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/798842

On Thu, 11 Dec 2008 19:11:11 +0600 "Alexey Kalinin" <avk@a*****.ru> wrote:

Спасибо за уточнение.

А возможно ли, сделать вход в систему по ключу, с модема (т.е. когда
ключ сгенерирован, но имя машины - не опознаваемо DNS, и,
естественно, IP меняется)?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35364; Возраст листа: 1967; Участников: 1495
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799252

В сообщении от Пятница, 12-дек-2008 Strong and Humble написал(a):

Вход осуществляется по проверки подлинности ключа, имя мошины не
проверяется и служит скорее всего для того, чтобы можно было
разобраться какой ключ кому принадлежит.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35366; Возраст листа: 1967; Участников: 1495
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799269

On Fri, 12 Dec 2008 15:15:31 +0200 Amper <amper_2***@r*****.ru> wrote:

Спасибо за Ваши время/ответ: Amper и Геннадий Владимирович.

Тогда как можно выявить причину проблемы: почему, соединение по ключу
между домашней машиной сервером (на ВМ) работает, даже при смене IP, и
ссответсвенно, имени домашней машины для сервера на ВМ, а в реальных
условиях - при соединении с реальным сервером по модему - уже нет,
требует пароль? Файлы конфигурации - одинаковы. Ключи сгенерированы для
каждого из серверов, и, соответственно, их публичные части размещены
в /home/username/.ssh/authorized_keys.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35373; Возраст листа: 1968; Участников: 1494
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799705

On Thu, 11 Dec 2008 19:11:11 +0600 "Alexey Kalinin" <avk@a*****.ru> wrote:

Спасибо за уточнение.

А возможно ли, сделать вход в систему по ключу, с модема (т.е. когда
ключ сгенерирован, но имя машины - не опознаваемо DNS, и,
естественно, IP меняется)?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35365; Возраст листа: 1967; Участников: 1495
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799253

В сообщении от Четверг, 11-дек-2008 Strong and Humble написал(a):

man iptables на предмет -m recent, что-то вроде такого:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m \
recent --set --name ssh_ban
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m \
recent --update --seconds 3600 --hitcount 5 --rttl --name ssh_ban -j \
REJECT

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35360; Возраст листа: 1966; Участников: 1496
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/798850

On Thu, 11 Dec 2008 18:26:19 +0200 Amper <amper_2***@r*****.ru> wrote:

Спасибо большое Вам и Alexander Tiurin за Ваши ответы.

Но как я понимаю, тут происходит блокировка адресов на час, а не
сохранение их на "пожизненное", либо на период, когда администратор сам
установит. Можно, конечно, увеличить этот промежуток, но с
перезагрузкой машины, скажем, из-за сбоя, а не штатного выключения ОС,
эта накопленная инф-ция будет утеряна...

Ещё раз, спасибо за Ваши ответы.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35362; Возраст листа: 1967; Участников: 1495
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799207

On Thu, 11 Dec 2008 18:26:19 +0200 Amper <amper_2***@r*****.ru> wrote:

Спасибо большое Вам и Alexander Tiurin за Ваши ответы.

Но как я понимаю, тут происходит блокировка адресов на час, а не
сохранение их на "пожизненное", либо на период, когда администратор сам
установит. Можно, конечно, увеличить этот промежуток, но с
перезагрузкой машины, скажем, из-за сбоя, а не штатного выключения ОС,
эта накопленная инф-ция будет утеряна...

Ещё раз, спасибо за Ваши ответы.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35362; Возраст листа: 1967; Участников: 1495
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799208

On Fri, 12 Dec 2008 17:08:04 +0700
Strong and Humble wrote:

А так ли это важно? Насколько я понимаю, данная мера защищает от
перебора ключей/паролей. Соответственно, и защищать надо не абсолютно,
а в некоторых разумных пределах. Например, три попытки в час (плюс
одна внеочередная в случае сбоя, который, надеюсь, у тебя реже чем раз
в час) - и перебор становится практически вечным. А вечная блокировка
по ip может быть с одной стороны жутко вредной - например, заблокируются
некоторые сетки с ограниченным количеством белых адресов (например,
beeline gprs), а с другой стороны неэффективной - захотел ты период
блокировки сутки, а вредитель пошел через проксик или просто перезвонил
с диалапа - вот адрес уже и новый.

Timohty Silent

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35363; Возраст листа: 1967; Участников: 1495
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799213

On Fri, 12 Dec 2008 13:33:42 +0300 Timothy Silent <taras***@m*****.ru>
wrote:

Спасибо за Ваши время/ответ.

Вы навели меня на очень верную мысль: ведь и мой адрес (с модема) может
попасть под "горячую руку".

Все же может иметь смысл следующая схема: блокирование ВСЕХ адресов до
времени, когда админ. сам их снова разрешит, КРОМЕ тех сетей, с которых
преполагается использовать модем. - В таком раскладе, вероятно,
подойдут оба метода, предложенных в этой теме: блокирование на час
(для сетей модема), и блокирование "до поры" - для всех прочих сетей.

Каково Ваше мнение на этот счёт?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35374; Возраст листа: 1968; Участников: 1494
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799706

On Sat, 13 Dec 2008 17:16:01 +0700
Strong and Humble wrote:

Теоретически схема с разделением сетей и различными блоками работать
будет, хотя имхо она необоснованно усложнена.
Я думаю, следует математически оценить риски неавторизованного доступа,
и мысль Eugene Saenko что блока на пару минут вполне достаточно станет
очевидной.
Даже если это шелл на сервере РВСН.

Timohty Silent

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35376; Возраст листа: 1968; Участников: 1494
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799738

Опыт показывает, что блокирования на несколько минут достаточно --
делает перебор паролей слишком длительным.
Реальный случай. Обнаружил что на мой почтовый сервар кто-то ломится и
перебирает пароли. Остановки sshd на 2 минуты оказалось достаточно,
чтобы к моему серверу потеряли всякий интерес.

Есть еще один действенный способ. Попытки проникнуть по ssh абсолютно
прекратились после переноса ssh на нестандартный порт. А уж номеров-то
от 1024 до 65535 надеюсь хватит :-)

On Sat, 13 Dec 2008 13:56:01 +0300 Eugene Saenko <caspar***@m*****.ru>
wrote:

=B4=D0=B5=D0=B9=D1=81=D1=82=D0=B2=D0=B5=D0=BD=D0=BD=D1=8B=D0=B9 =D1=81=D0=
=BF=D0=BE=D1=81=D0=BE=D0=B1. =D0=9F=D0=BE=D0=BF=D1=8B=D1=82=D0=BA=D0=B8 =D0=
=BF=D1=80=D0=BE=D0=BD=D0=B8=D0=BA=D0=BD=D1=83=D1=82=D1=8C =D0=BF=D0=BE ssh =
=D0=B0=D0=B1=D1=81=D0=BE=D0=BB=D1=8E=D1=82=D0=BD=D0=BE=20

=D0=BF=D0=BE=D1=81=D0=BB=D0=B5 =D0=BF=D0=B5=D1=80=D0=B5=D0=BD=D0=BE=D1=81=
=D0=B0 ssh =D0=BD=D0=B0 =D0=BD=D0=B5=D1=81=D1=82=D0=B0=D0=BD=D0=B4=D0=B0=D1=
=80=D1=82=D0=BD=D1=8B=D0=B9 =D0=BF=D0=BE=D1=80=D1=82. =D0=90 =D1=83=D0=B6

=D0=B4=D0=BE 65535 =D0=BD=D0=B0=D0=B4=D0=B5=D1=8E=D1=81=D1=8C =D1=85=D0=B2=
=D0=B0=D1=82=D0=B8=D1=82 :-)

=D0=A1=D0=BF=D0=B0=D1=81=D0=B8=D0=B1=D0=BE =D0=B7=D0=B0 =D0=92=D0=B0=D1=88=
=D0=B8 =D1=86=D0=B5=D0=BD=D0=BD=D1=8B=D0=B5 =D0=BE=D1=82=D0=B2=D0=B5=D1=82=
=D1=8B Eugene Saenko =D0=B8 Timohty Silent.

=D0=AF =D1=87=D0=B8=D1=82=D0=B0=D0=BB =D0=BE =D1=82=D0=BE=D0=BC, =D1=87=D1=
=82=D0=BE =D1=83=D0=BC=D0=BD=D1=8B=D0=B5 =D1=81=D0=BA=D0=B0=D0=BD=D0=B5=D1=
=80=D1=8B =D0=BF=D0=BE=D1=80=D1=82=D0=BE=D0=B2 =D0=BE=D0=B1=D0=BD=D0=B0=D1=
=80=D1=83=D0=B6=D0=B0=D1=82 sshd =D0=BD=D0=B0 =D0=BD=D0=B5=D1=81=D1=82=D0=
=B0=D0=BD=D0=B4=D0=B0=D1=80=D1=82=D0=BD=D0=BE=D0=BC
=D0=BF=D0=BE=D1=80=D1=82=D1=83. =D0=9F=D0=BE=D1=8D=D1=82=D0=BE=D0=BC=D1=83,=
=D0=B4=D1=83=D0=BC=D0=B0=D1=8E, =D1=87=D1=82=D0=BE =D1=8D=D1=82=D0=B0 =D0=
=B4=D0=B5=D0=B9=D1=81=D1=82=D0=B2=D0=B5=D0=BD=D0=BD=D0=BE=D1=81=D1=82=D1=8C=
=D0=BE=D0=B1=D1=83=D1=81=D0=BB=D0=BE=D0=B2=D0=BB=D0=B5=D0=BD=D0=B0
=D1=83=D1=80=D0=BE=D0=B2=D0=BD=D0=B5=D0=BC/=D0=B6=D0=B5=D0=BB=D0=B0=D0=BD=
=D0=B8=D0=B5=D0=BC/=D0=BE=D1=81=D0=BD=D0=B0=D1=89=D0=B5=D0=BD=D0=B8=D0=B5=
=D0=BC =D0=B2=D0=B7=D0=BB=D0=BE=D0=BC=D1=89=D0=B8=D0=BA=D0=B0/=D0=BF=D1=80=
=D0=B5=D1=81=D1=82=D1=83=D0=BF=D0=BD=D0=B8=D0=BA=D0=B0. - =D0=9F=D0=BE=D1=
=8D=D1=82=D0=BE=D0=BC=D1=83, =D1=8F =D0=B8
=D0=BE=D1=81=D1=82=D0=B0=D0=BD=D0=BE=D0=B2=D0=B8=D0=BB=D1=81=D1=8F =D0=BD=
=D0=B0 =D0=B1=D0=BB=D0=BE=D0=BA=D0=B8=D1=80=D0=BE=D0=B2=D0=B0=D0=BD=D0=B8=
=D0=B8 =D0=B4=D0=BE=D1=81=D1=82=D1=83=D0=BF=D0=B0. =D0=9E=D1=81=D1=82=D0=B0=
=D1=91=D1=82=D1=81=D1=8F =D1=80=D0=B0=D0=B7=D0=BE=D0=B1=D1=80=D0=B0=D1=82=
=D1=8C=D1=81=D1=8F =D1=81
=D0=B0=D0=B2=D1=82=D0=BE=D1=80=D0=B8=D0=B7=D0=B0=D1=86=D0=B8=D0=B5=D0=B9 =
=D0=BF=D0=BE =D0=BA=D0=BB=D1=8E=D1=87=D1=83 =D0=B4=D0=BB=D1=8F =D0=BC=D0=BE=
=D0=B4=D0=B5=D0=BC=D0=BD=D0=BE=D0=B3=D0=BE =D1=81=D0=BE=D0=B5=D0=B4=D0=B8=
=D0=BD=D0=B5=D0=BD=D0=B8=D1=8F.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35379; Возраст листа: 1969; Участников: 1492
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/800064

Увы, но Ваше письмо получил в таком виде:

=

On Sun, 14 Dec 2008 21:26:11 +0300 Eugene Saenko <caspar***@m*****.ru>
wrote:

Здравствуйте. Извините, пожалуйста. Попробую ещё раз.

Я писал:

Спасибо за Ваши ценные ответы Eugene Saenko и Timohty Silent.

Я читал о том, что умные сканеры портов обнаружат sshd на нестандартном
порту. Поэтому, думаю, что эта действенность обусловлена
уровнем/желанием/оснащением взломщика/преступника. - Поэтому, я и
остановился на блокировании доступа. Остаётся разобраться с
авторизацией по ключу для модемного соединения.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35392; Возраст листа: 1972; Участников: 1493
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/801239

Уважаемый Strong and Humble,

У меня почтовый сервер на Linux с весны 2000 года, два шлюза. Была одна
успешная попытка взлома и без счета безуспешных. Думаю мой опыт Вам
пригодится.

Полностью с Вами согласен в необходимости блокирования настойчивых
ломателей. Просто хотелось расставить некоторые акценты. При brute force
попытке взлома взломщику необходимо перебрать сотни тысяч сочетаний
login:password. Судя по логам в спокойной обстановке взломщик успевает
сделать в секунду 5..7 попыток. Это дает в минуту 300..400 а в час
20..25 тысяч попыток. Для взлома надо несколько часов. Это конечно
грубые оценки, но они дают представление о порядке величин. Предположим
что после 5 безуспешных попыток Вы блокируете IP на 10 минут. Получается
в среднем 2 минуты на попытку. В 600 раз больше. Вместо нескольких часов
получается несколько тысяч часов. Посмотрите по своим логам, была ли
хоть одна попытка, продолжавшаяся около 10 суток? Вопрос риторический.
Вывод: уже этой меры достаточно, чтобы защитить Ваш сервер, если,
конечно, Вы сами не поможете взломщику (пресловутый человеческий фактор).

Как Вы можете помочь? Давайте посмотрим как взломали мой сервер около
двух лет назад (через 6 лет после начала эксплуатации).

На сервере у меня sendmail с авторизацией пользователей через
passwd/shadow. Пользователи почты -- реальные юзеры Linux. Всего около
полутора сотен. При их создании я допустил 2 грубые ошибки, которые и
помогли взломать сервер.

1) При создании юзера ему назначалась оболочка /bin/bash, хотя реально
она была нужна всего двоим.

2) При создании юзера ему назначался простенький пароль "1" с
настоятельной рекомендацией сменить его при первой возможности.

Обнаружил на следующий день по логам.Естественно среди этих полутора
сотен нашелся один, которому лень было сменить пароль. Его-то и
взломали. Подсадили руткит. Метод лесения применил радикальный --
сформировал новый сервер и на него перенес почтовые ящики.

На новом сервере применил такие меры:

1) Запрет входа root'а по ssh.
2) Перенос ssh на нестандартный порт.
3) После 5 неудачных попыток IP блокируется на 2 минуты.
3) Всем юзерам, кроме двоих, которым нужен шелл в качестве оболочки
прописан /sbin/nologin
4) При создании юзера ему генерируется пароль из 8 символов (буквы
большие и малые и цифры)
5) Удалена утилита, позволявшая юзеру изменить свой пароль из локальной
сети.

Если раньше файл /var/log/secure имел размер от 300 килобайт до полутора
мегабайт, то после принятия этих мер размер его колеблется от 1400 до
4800 байт (от 10 до 50 строк). В восновном однократные ошибки при
обращении к почте через web-интерфейс. За два года НИ ОДНОЙ попытки
доступа постороннего по ssh.

Надеюсь этот опыт в чем-то Вам поможет.

Спасибо Вам огромное, Евгений, за такой исчерпывающий ответ, и
время/силы, которые вы на него потратили!

On Thu, 18 Dec 2008 13:21:25 +0300 Eugene Saenko <caspar***@m*****.ru>
wrote:

А чем надёжно можно предотвратить скинирование портов, если мы говорим
не о готовом ("железном") решении - т.е. ПО ОС?

Тут не понятно: что это за утилита - Вы не passwd говорите, верно?

Можно, наверное, сделать принудительное изменение пароля спустя,
скажем, год.

А всем пользователям можно запретить вход в оболочку путём прописи
разрешения входа тем 2-х пользователей, только, в sshd_conf.

Ещё раз, спасибо за Ваши время и ответы.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35407; Возраст листа: 1974; Участников: 1492
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/802030

Strong and Humble wrote:

Многое можно предотвратить с помощью правил iptables. Есть хорошие
утилиты позволяющие сгенерировать по Вашим требованиям скрипт файервола,
например http://www.slackware.com/~alien/efg/ У меня она установлена на
локальном web-сайте. Сгенерированный с ее помощью скрипт я обычно
использую в качестве заготовки, а потом довожу напильником.

По правилам iptables можно почитать здесь:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
По моему на opennet.ru есть русский перевод более старой версии этого
документа.

Юзеры не могут воспользоваться passwd поскольку у них оболочка
/sbin/nologin. Имеется в виду утилита с web-интерфейсом chpasswd
http://sarg.sourceforge.net/chpasswd.php

От всей души желаю Вам успехов в защите Вашей сети :-)

Eugene Saenko пишет:

Спасибо за Ваши время и ответ, Eugene.

Попробую эту ссылку. Я искал готовое решение потому, что с
iptables|сетевыми технологиями не настолько знаком, чтобя мог
противостоять Сетевой опасности.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35438; Возраст листа: 1977; Участников: 1493
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/802953

Этот инструмент дает практически готовое решение. Доработка напильником
требуется только если у Вас есть некоторые специфические требования.
Получаемый в результате скрипт хорошо комментирован и содержит множество
закомментированных правил для опций, которые Вы не включили. Из
множества опробованных мною инструментов этот дает наиболее адекватный
результат, хорошо приспособленный для ручного редактирования.

В сообщении от Friday 19 December 2008 18:06:09 Strong and Humble написал(а):

Предотвратить - не предотвратить, а наказать можно так:
iptables -A INPUT -p tcp --dport ! ssh -j TARPIT

Эффект впечатляющий, только не делайте это на маршрутизаторе с НАТом!

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35414; Возраст листа: 1975; Участников: 1491
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/802224

Поветкин Константин пишет:

Спасибо за Ваши время и ответ, Константин.

Не объясните ли Вы, что это за цель - TARPIT (я её в док-ции не нашёл
iptables(1).

Ну, и... у меня NAT есть...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35439; Возраст листа: 1977; Участников: 1493
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/802954

В сообщении от Monday 22 December 2008 11:44:46 Strong and Humble написал(а):

TARPIT - это ловушка, она создает сессию, устанавливает TCP-window в ноль
и "насилует" :) неприятеля, на закрытие такого соединения, если не изменяет
память, необходимо до 12 часов. С такими "шутками" Ваша система не несет
никаких расходов системных ресурсов, зато "злодей" во всю будет пытаться
продолжить соединение, расходую все необходимые на это ресурсы, а если он при
этом и сканирует порты, используя tcp... =))) Можно только посочувствовать!
НАТ использует connection tracking как основу механизма своей работы. Это
довольно ресурсоемкая и "тяжелая" схема, при использовании ТАРПИТов, трекинг
будет применим и для ловушек, что сильно "нагрузит" Вашу систему.
Это конечно не совсем гуманный способ отвадить недоброжелателя от Вашей
системы, но очень действенный!
Для использования необходимы патчи из patch-o-matic.

http://netfilter.org/projects/patch-o-matic/pom-extra.html#pom-extra-TARPIT

Если вопрос стоит только в безопасности sshd, то для этого вполне хватает
штатных возможностей сервера! Перенесите его на любой другой порт,
используйте ключи для авторизации(можно с контрольной фразой для пущей
убедительности), если есть медленные соединения(диал-ап) - включите сжатие
протокола.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35440; Возраст листа: 1977; Участников: 1493
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/802977

Спасибо за Ваши время и ответ, Константин.

Поветкин Константин пишет:

В том и проблема: переносим на другой порт - сканирование показывает
какой порт, защищаемся от сканирования предложенным здесь TARPIT - не
подходит из-за NATа... Замкнутый круг, какой-то.

С другой стороны, видел у кого-то такую хорошую вещь:

$ nmap -p0-30 hostname
All 31 scanned ports are filtered

Как это делается?

Ставим ключи для сервера под ВМ (постоянные IP) - всё прекрасно
работает, - на реальный сервер по модему - только по паролю работает,
хотя сервер показывает, что проверяет по ключам и паролю.

Вы можете дать ответ: со сменными адресами ключи работают?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35461; Возраст листа: 1981; Участников: 1490
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/804972

В сообщении от Суббота, 27-дек-2008 Strong and Humble написал(a):

работают, проблем не замечал

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35462; Возраст листа: 1981; Участников: 1490
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/804976

В сообщении от Понедельник, 22-дек-2008 Strong and Humble написал(a):

Соеднинение охотно принимается, но игнорируется любая попытка его
разорвать или принять/передать данные.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35442; Возраст листа: 1977; Участников: 1493
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/803045

В Thu, 11 Dec 2008 17:40:56 +0700
Strong and Humble <strong.andhumb***@g*****.com> пишет:

пакет fail2ban может это, входит во все популярные и не очень
дистрибутивы

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35361; Возраст листа: 1967; Участников: 1496
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799012

Вот здесь ответы на большинство вопросов:
http://www.nixp.ru/articles/ssh

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 35371; Возраст листа: 1967; Участников: 1495
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/799555