Esiste un equivalente interno a fail2ban?

Naviga le tue risposte
2

fail2ban è una protezione contro la forza bruta che blocca l'utente dopo un massimo di tentativi di accesso non definibili.

Ma se un utente ha già accesso ad un server con un altro nome utente già fail2ban non è più attivo dall'interno, quindi hai infiniti tentativi di forzare la forza con 

slogin otheruser@localhost

in un altro account utente.

  • C'è uno strumento che posso installare su linux che calcia un utente dopo un numero di tentativi local ssh-login falliti?
  • E come devo configurarlo in modo che un utente venga calciato dopo 10 tentativi falsi?
posta rubo77 07.10.2013 - 20:40
fonte

3 risposte

7

Puoi anche usare fail2ban anche per questo. È molto configurabile. In questo caso, dovresti scrivere un nuovo filtro per guardare i tuoi registri di autenticazione. Puoi anche utilizzare la scorciatoia <HOST> per far corrispondere i nomi utente, poiché questi dovrebbero essere conformi ai parametri "hostname". Dovresti anche scrivere una nuova azione per eseguire il calcio. Il manuale fail2ban ha molte buone informazioni per iniziare.

Come ulteriore esempio di estensione di fail2ban, ho impostato un filtro per vedere i log di fail2ban. Se un solo host genera una serie di divieti più di 4 volte in un mese, ottiene un ban di un mese.

    
risposta data 07.10.2013 - 21:39
fonte
3

se hai già installato fail2ban, vai con esso, altrimenti e per configurazioni più grandi, OSSEC è sempre un bene per l'intrusione basata su host rilevamento.

Forse un inizio: Cerchi il modo migliore per registrare tutti "sudo su - someuser".

quindi ragazzino, tu neva herd 'per il BOFH , vero? altrimenti sapresti del "Bastard Operation Control Center" ; un altro strumento da suggerire sarebbe un LART

correlati:

risposta data 07.10.2013 - 22:50
fonte
1

OT: SU sarebbe un motivo per dare un calcio a un utente per sempre; usa SUDO , quindi non devi fornire la password di root.

questo è ciò che facciamo:

  • abbiamo molti sviluppatori diversi sui nostri server
  • abbiamo un insieme limitato di attività che richiede diritti SUDO, come test / riavvio dei servizi, pulizie ecc.
  • abbiamo una semplice shell di task per gli utenti per selezionare ed eseguire questi comandi via bash (si chiama bosh : shell operatore bastard :); questo impedisce anche cose stupide come RESTART invece di RELOAD o un CONFIG_TEST dimenticato prima di un RELOAD
  • quelli senza account shell possono eseguire alcune attività tramite hudson
  • abbiamo un workshop speciale per quegli utenti e documenti aggiuntivi aggiornati disponibili in un wiki
  • TUTTI i tentativi sudo / su vengono registrati e segnalati
  • se un utente della shell prova su su o sudo, deve riportare WHY e affrontare LART
  • ogni utente di shell ha firmato un "so che sono condannato se provo a h4xo qualcosa" accordo
  • facciamo sapere a tutti gli utenti che monitoriamo i loro passaggi
risposta data 08.10.2013 - 09:22
fonte

Leggi altre domande sui tag

In qualche modo inaspettatamente il mio computer è stato infettato da malware Effettivamente Pentest un sito Wordpress