Portál AbcLinuxu, 10. května 2025 07:13

Dotaz: obmedzenie ssh

13.6.2006 09:58 secido | skóre: 27
obmedzenie ssh
Přečteno: 147×
Odpovědět | Admin
Potreboval by som pomocu iptables alebo nejako inak nastaviť čas medzi opakovaným pripojeniami cez ssh. Logy sú plné pokusov z rôznych adries. Najlepšie ak sa niekto pripojí povedzme 10x za minútu, tak si musí dať hodinu pauzu. Dá sa to?
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

13.6.2006 10:04 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: obmedzenie ssh
Odpovědět | | Sbalit | Link | Blokovat | Admin
Mno a nebylo by lepší nastavit jen určité IP adresy, které se mohou na ssh zalogovat? Nebo to je nějaký open ssh server?
cd /pub | more beer
13.6.2006 10:30 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: obmedzenie ssh
Odpovědět | | Sbalit | Link | Blokovat | Admin
:-) man iptables :-) 
limit
       This  module  matches  at  a  limited rate using a token bucket filter.  A rule using this extension will
       match until this limit is reached (unless the ‘!’ flag is used).  It can be used in combination with  the
       LOG target to give limited logging, for example.

       --limit rate
              Maximum  average  matching  rate:  specified  as  a number, with an optional ‘/second’, ‘/minute’,
              ‘/hour’, or ‘/day’ suffix; the default is 3/hour.

       --limit-burst number
              Maximum initial number of packets to match: this number gets recharged by one every time the limit
              specified above is not reached, up to this number; the default is 5.

# Retezec pro stanoveni limitu prichozich SYN konexi (ochrana pred SYN floods)
# propusti pouze 4 SYN segmenty/sec
$IPTABLES -N syn-flood
$IPTABLES -F syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A syn-flood -j DROP

# Odfiltrovat pokusy o syn-flooding
$IPTABLES -A INPUT -p tcp --syn --dport ssh -j syn-flood
Samozřejmě si to musíš upravit podle sebe.
Josef Kufner avatar 13.6.2006 12:06 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: obmedzenie ssh
Obavam se, ze tohle neresi uspesnost prihlaseni, coz by mohlo byt celkem neprijemne, ale pri rozumnem limitu...
Hello world ! Segmentation fault (core dumped)
13.6.2006 10:46 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: obmedzenie ssh
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tento problem sa tu rozobera raz za dva mesiace. Trocha prehladaj historiu.
If you hold a Unix shell up to your ear, you can you hear the C.
13.6.2006 12:17 Stanislav Petr | skóre: 27 | Praha
Rozbalit Rozbalit vše Re: obmedzenie ssh
Odpovědět | | Sbalit | Link | Blokovat | Admin
Odpoved je zde: http://denyhosts.sourceforge.net/
No jo... Co bych cekal od systemu, kterej se vypina tlacitkem start... http://glux.org
13.6.2006 13:01 Jan Martinek | skóre: 43 | blog: johny | Brno
Rozbalit Rozbalit vše Re: obmedzenie ssh
Odpovědět | | Sbalit | Link | Blokovat | Admin
Existuje tisíc a jeden skript, co se snaží ssh útoky nějak řešit. Jenže buď toho umí málo nebo je jejich návrh (podle mě) nesystémový. Asi jsem divnej, ale parsování logů (obecně) považuji za nešťastnou věc, které dříve či později povede k problémům s přenositelností. No a když má celou věc na starosti periodicky(crontabem) spouštěný skript, tak je to prostě zbastlené. Takže dle mého soudu rozumné řešení zatím neexistuje, a tak se ptám - uměl by někdo napsat modul do PAMu, který by komunikoval s démonem, co by následně modifikoval pravidla iptables, přičemž by si schovával informace někde jinde než v logu?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.