Come intercettare i tentativi di interruzione ssh su El Capitan

2

Prima di El Capitan si poteva usare pfctl e /etc/pf.conf per "trap" gli indirizzi IP dei siti che tentavano di entrare in un server usando attacchi di forza bruta producendo 100 di tentativi al secondo. Le regole create creano gli indirizzi ip incriminati in una tabella "attackers" e quindi respingono qualsiasi tentativo di connessione da quell'indirizzo ip.

Con El Capitan, tutte le connessioni di porta sembrano essere gestite prima da launchd e ora il metodo pfctl non ha alcun effetto.

Qualcuno sa come adattare l' approccio pfctl a questa nuova logica di connessione ? Le regole di rilevamento automatico erano davvero efficaci.

    
posta John Wooten 03.11.2015 - 18:11
fonte

1 risposta

1

Non credo che pfctl sia abilitato di default in Yosemite o El Capitan. Puoi ancora modificare il file /etc/pf.conf, aggiungere regole, tabelle, ecc., Quindi caricare e abilitare pfctl e sarai subito operativo:

sudo pfctl -f /etc/pf.conf -e

Vedi link per davvero metodo semplice ma efficace per ottenere una regola SSH per prevenire attacchi bruteforce.

Vedi anche link

Se vuoi caricare pfctl all'avvio, devi lanciare il tuo script di avvio.

Un'altra opzione è un'app GUI come Murus . Puoi quindi esaminare il file launchd che crea e i file PF in / etc / murus e capire meglio come farlo funzionare per te.

    
risposta data 16.12.2015 - 07:10
fonte

Leggi altre domande sui tag