sslug-teknik team mailing list archive

Thread
Date

RE: Sikring af sshd?

To: <sslug-teknik@xxxxxxxx>
From: "Mogens Melander" <mogens@xxxxxxxxxxxxx>
Date: Tue, 17 Jan 2006 22:46:25 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <200601172149.51109.vk@os-academy.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Thread-index: AcYbp6GFr4vkT0dWTPaAGxfFgwyWywABkflg

> From: Verner Kjærsgaard [mailto:vk@xxxxxxxxxxxxx] 
> 
> Mandag 16 januar 2006 09:53 skrev Jesper Krogh:
> > I sslug.teknik, skrev Thomas Jansson:
> > >  På linuxin.dk har vi for tiden en tråd om at lukke for 
> forbindelse til
> > > en klient i en time, hvis han prøver forkert password og 
> brugernavne mere
> > > en f.eks. 3-5 gange.
> > >
> > >  Problemet er at min server hele tiden bliver scannet af 
> små scripts tror
> > > jeg af typen (fra min auth.log):
> > >
> > >  Jan 16 02:08:39 tjansson sshd[29555]: Illegal user gopher from
> > >  201.134.153.230
> > >  Jan 16 02:08:39 tjansson sshd[29555]: reverse mapping checking
> > > getaddrinfo for customer-201-134-153-230.uninet.net.mx failed
> > >  - POSSIBLE BREAKIN ATTEMPT!
> > >
> > >  Hvis i har andre gode råd til at sikre openssh er jeg ganske
> > > interesseret.
> >
> > Jeg har smidt noget i AllowUsers.. eksempelvis:
> >
> > AllowUsers *@*.dk
> >
> > Vil kræve at alle brugere har reverse-dns til .dk for at slippe ind.
> > Sikkerhed.. ptja... på et eller andet niveau så er det vel.
> >
> > Jesper
> 
> 
> Hej liste og Jesper,
> 
> - den med AllowUsers var smart...
> - i hvilken fil finder man direktivet?

Jeg bliver også tit ramt af diverse dictionary attack's på ssh.
Min beskyttelse er måske en anelse rå, men den virker. Nedenstående
stump kode er fra firewall scriptet. Jeg spekulerer på om jeg kan
bruge iptables tællere og log features til at lave blokken automatisk.
Noget i stil med: Mere end 5 hits/minut på ssh, tilføj class-c til
ip-block listen. 

# Deny access from specific networks
for IP in `cat /root/script/ip-block`
do
        echo "Blocking $IP segment.."
        iptables -A INPUT -i $EXTIF -s $IP      -j DROP
done

~# cat script/ip-block 
192.168.0.0/16
10.0.0.0/16
211.144.0.0/16
216.51.0.0/16
216.161.0.0/16
218.106.0.0/16
218.188.0.0/16



-- 
This message has been scanned for viruses and
dangerous content by OpenProtect(http://www.openprotect.com), and is
believed to be clean.

Follow ups

Re: Sikring af sshd?
From: Doc Nielsen, 2006-01-19
RE: Sikring af sshd?
From: Martin Seebach, 2006-01-17

References

Re: Sikring af sshd?
From: Verner Kjærsgaard, 2006-01-17