software per mantenere un elenco di IP che tenta di accedere a ssh su un insieme di regole e fattibilità

5

Sono interessato al software o all'insieme di script per mantenere un elenco di IP filtrati che tentano di eseguire la forza bruta di ssh e per etichettare un IP come forzante brute aggiungo alcuni controlli come:

  • un tentativo di accedere come root è un ban
  • tre tentativi di accesso come utente inesistente in un giorno è un divieto
  • un port scan è un ban (questo so che ci sono strumenti per questo tipo psad )

Mi chiedo se ci sia uno strumento che permetta questo, inoltre, pensi che sia fattibile mantenere un elenco sempre crescente o ci sono approcci migliori per questo?

Considerati i livelli di traffico ssh di tipo brute-force che ottengo, sono tentato di filtrare tutto per impostazione predefinita e autorizzare specifici client ips (non hosting web così è un'opzione) ma mi piacerebbe sentire altri approcci per questo argomento

grazie!

    
posta lurscher 06.06.2011 - 20:22
fonte

4 risposte

8

Fail2ban ha diversi valori predefiniti, ma penso che potresti probabilmente configurarlo per soddisfare i tuoi desideri. Personalmente ritengo che il 10 login errati per default IP sia più che sufficiente per mantenere le risorse basse ed evitare di bloccarti per errore o errore.

    
risposta data 06.06.2011 - 20:58
fonte
4

Cerca nell'uso di OSSEC .

È possibile creare regole personalizzate basate sul set di regole predefinito di OSSEC. Ad esempio, OSSEC per avvisi di default sui seguenti eventi SSH:
link

Un esempio di regola personalizzata:

<rule id=“100005” level=“10” frequency=“3” timeframe=“600”>
<if_matched_sid>100124</if_matched_sid>
<description>3 Failed passwords within 10 minutes</description>
</rule> 

È possibile creare risposte attive personalizzate (ad es. chiamare uno script per aggiungere regole iptables o per aggiungere l'IP sorgente a un file o database flat):
link

    
risposta data 06.06.2011 - 23:39
fonte
4

DenyHosts è un software di mitigazione degli attacchi ssh che utilizza un database condiviso per identificare e prevenire gli attacchi ssh. Ha buone impostazioni configurabili ed è scritto in Python, quindi è moderatamente portatile. Inoltre, ha una bellissima pagina delle statistiche .

    
risposta data 15.07.2011 - 20:55
fonte
4

O configura sshd

  • per consentire l'accesso basato su keypair
  • per non consentire il login basato su password
  • per non consentire il login root
risposta data 15.07.2011 - 22:08
fonte

Leggi altre domande sui tag