ФорумРазработкаУстановка и администрирование ПОРазное ПО → Устанавливаем и настраиваем sshguard на Debian 5.07

Устанавливаем и настраиваем sshguard на Debian 5.07

  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 15 января 2011 г. 23:31

    <———- Устанавливаем и настраиваем sshguard на Debian 5.07 ———->

    Добавляем новый источник пакетов в /etc/apt/sources.list, обновляем apt и ставим:
    echo "deb http://www.backports.org/debian lenny-backports main contrib non-free" >> /etc/apt/sources.list
    apt-get update
    apt-get install sshguard


    Разрешим sshguard при выполнении переустанавливать действующий идентификатор пользователя или группы:
    chmod +s /usr/sbin/sshguard


    Создавим файлы чёрного и белого списков:
    mkdir /var/lib/sshguard
    touch /var/lib/sshguard/whitelist
    touch /var/lib/sshguard/blacklist


    Создадим файл с правилами для iptables и сделаем его исполняемым:
    touch /etc/network/if-up.d/sshguard
    chmod +x /etc/network/if-up.d/sshguard


    В файл добавим следующие строки:
    #! /bin/sh
    iptables -N sshguard
    ip6tables -N sshguard
    # блокируем SSH, FTP, POP, IMAP
    iptables -A INPUT -m multiport -p tcp –destination-ports 21,22,110,143 -j sshguard
    ip6tables -A INPUT -m multiport -p tcp –destination-ports 21,22,110,143 -j sshguard
    # или конкретный порт:
    #iptables -A INPUT -p tcp –dport 22 -j sshguard
    #ip6tables -A INPUT -p tcp –dport 22 -j sshguard


    Создадим файл запуска sshguard и сделаем его исполняемым:
    touch /etc/init.d/sshguard
    chmod +x /etc/init.d/sshguard


    В файл добавим следующие строчки:
    #! /bin/sh
    # После 3 неудачных попыток IP будет временно заблокирован, а после 9 блокировок внесён в чёрный список
    tail -n 0 -F /var/log/auth.log | sshguard -a 3 -p 420 -s 1200 -b 9:/var/lib/sshguard/blacklist -w /var/lib/sshguard/whitelist &


    Включим автозапуск sshguard:
    update-rc.d sshguard defaults
  • Sinkler

    Сообщения: 7958 Репутация: N Группа: в ухо

    Spritz 15 января 2011 г. 23:32, спустя 47 секунд

    чо, круто, красавчег
  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 15 января 2011 г. 23:33, спустя 54 секунды

    Sinkler, хуле, 100% рабочий ман ;-)
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 16 января 2011 г. 0:32, спустя 58 минут 54 секунды

    тоже такой херней страдал http://adw0rd.ru/2009/denyhosts/
    сейчас просто порт меняю и т.д.
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 16 января 2011 г. 0:46, спустя 13 минут 54 секунды

    сейчас просто порт меняю

    Это не выход. Порт ищется на раз.
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 16 января 2011 г. 1:46, спустя 1 час 20 секунд

    Hight, я же сказал "и т.д.", это подразумевает ограничения на доступ по ссх для определенного диапазона ип + авторизация по сертификатам и т.д.
    то есть не бороться с брутофорсом, а не давать возможности впринципе им заниматься
    Спустя 81 сек.
    и еще надо быть реалистом, узнать порт то в два счета.. только боты на практике такие тупые, что этого не делают
    Спустя 49 сек.
    и вообще это накладные расходы для бота
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 16 января 2011 г. 2:12, спустя 26 минут 11 секунд

    adw0rd, понятно. У нас с тобой несколько разные взгляды на защиту ssh. Скажем так, за ботов я не беспокоюсь, а вот за конкретных людей, которые щупают мой сервак за титьки, я волнуюсь. Бот скорее всего не будет искать нужный порт, а человек будет и найдёт и будет брутфорсить его до получения оргазма. А sshguard это прекрасное решение, оно само всё делает. Ничего больше выдумывать и крутить не надо. Всё есть в sshguard.
  • Sinkler

    Сообщения: 7958 Репутация: N Группа: в ухо

    Spritz 21 января 2011 г. 22:57, спустя 5 дней 20 часов 44 минуты

    sshguard[13820]: Releasing 95.153.181.6 after 425 seconds.
    sshguard[13820]: Setting environment: SSHG_ADDR=123.123.123.1;SSHG_ADDRKIND=4;SSHG_SERVICE=100.
    sshguard[13820]: Run command "case $SSHG_ADDRKIND in 4) exec /sbin/iptables -D sshguard -s $SSHG_ADDR -j DROP ;; 6) exec /sbin/ip6tables -D sshguard -s $SSHG_ADDR -j DROP ;; *) exit -2 ;; esac": exited 1.

    sshguard[13820]: Release command failed. Exited: -1
    а если так?
  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 22 января 2011 г. 18:46, спустя 19 часов 48 минут 59 секунд

    Sinkler, где такое пишет и когда?
  • Sinkler

    Сообщения: 7958 Репутация: N Группа: в ухо

    Spritz 22 января 2011 г. 21:49, спустя 3 часа 2 минуты 49 секунд


    Sinkler, где такое пишет и когда?
    ввел я неправильно три раза пароль, потом девять, меня не забанило, а в логах это вывело
  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 22 января 2011 г. 22:33, спустя 43 минуты 57 секунд

    Sinkler, где-то ты косячишь. Меня банит влёт. =)
  • Sinkler

    Сообщения: 7958 Репутация: N Группа: в ухо

    Spritz 22 января 2011 г. 22:35, спустя 2 минуты 28 секунд

    четко копипастя и не думаю ставил все себе

    а вот тут "&" что в конце значит? или это очепятка?
    tail -n 0 -F /var/log/auth.log | sshguard -a 3 -p 420 -s 1200 -b 9:/var/lib/sshguard/blacklist -w /var/lib/sshguard/whitelist &

  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 23 января 2011 г. 0:19, спустя 1 час 43 минуты 45 секунд

    Нет, это не очепятка. Без этой закорючки консоль не загружается.
  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 23 января 2011 г. 1:47, спустя 1 час 27 минут 39 секунд

    Sinkler, я думаю ты это:

    chmod +s /usr/sbin/sshguard

    забыл сделать.
  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 2 февраля 2011 г. 23:47, спустя 10 дней 21 час 59 минут

    Sinkler, дык, чего там у тебя, получилось?

    Кстати, вот эта фича & - это перенаправление вывода, если не ошибаюсь эквивалентно &>/dev/null

    Правда отгуглить не получилось.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!