Устанавливаем и настраиваем sshguard на Debian 5.07

Сообщения: 1489 Репутация: N Группа: Адекваты

15 января 2011 г. 12:31

<———- Устанавливаем и настраиваем sshguard на Debian 5.07 ———->

Добавляем новый источник пакетов в /etc/apt/sources.list, обновляем apt и ставим:

echo "deb http://www.backports.org/debian lenny-backports main contrib non-free" >> /etc/apt/sources.list
apt-get update
apt-get install sshguard

Разрешим sshguard при выполнении переустанавливать действующий идентификатор пользователя или группы:

chmod +s /usr/sbin/sshguard

Создавим файлы чёрного и белого списков:

mkdir /var/lib/sshguard
touch /var/lib/sshguard/whitelist
touch /var/lib/sshguard/blacklist

Создадим файл с правилами для iptables и сделаем его исполняемым:

touch /etc/network/if-up.d/sshguard
chmod +x /etc/network/if-up.d/sshguard

В файл добавим следующие строки:

#! /bin/sh
iptables -N sshguard
ip6tables -N sshguard
# блокируем SSH, FTP, POP, IMAP
iptables -A INPUT -m multiport -p tcp –destination-ports 21,22,110,143 -j sshguard
ip6tables -A INPUT -m multiport -p tcp –destination-ports 21,22,110,143 -j sshguard
# или конкретный порт:
#iptables -A INPUT -p tcp –dport 22 -j sshguard
#ip6tables -A INPUT -p tcp –dport 22 -j sshguard

Создадим файл запуска sshguard и сделаем его исполняемым:

touch /etc/init.d/sshguard
chmod +x /etc/init.d/sshguard

В файл добавим следующие строчки:

#! /bin/sh
# После 3 неудачных попыток IP будет временно заблокирован, а после 9 блокировок внесён в чёрный список
tail -n 0 -F /var/log/auth.log | sshguard -a 3 -p 420 -s 1200 -b 9:/var/lib/sshguard/blacklist -w /var/lib/sshguard/whitelist &

Включим автозапуск sshguard:

update-rc.d sshguard defaults

Sinkler

Сообщения: 7958 Репутация: N Группа: в ухо

15 января 2011 г. 12:32, спустя 47 секунд

чо, круто, красавчег
Hight

Сообщения: 1489 Репутация: N Группа: Адекваты

15 января 2011 г. 12:33, спустя 54 секунды

Sinkler, хуле, 100% рабочий ман ;-)
adw0rd

Сообщения: 22959 Репутация: N Группа: в ухо

15 января 2011 г. 13:32, спустя 58 минут 54 секунды

тоже такой херней страдал http://adw0rd.ru/2009/denyhosts/
сейчас просто порт меняю и т.д.

https://smappi.org/ - платформа по созданию API на все случаи жизни
Hight

Сообщения: 1489 Репутация: N Группа: Адекваты

15 января 2011 г. 13:46, спустя 13 минут 54 секунды

сейчас просто порт меняю

Это не выход. Порт ищется на раз.
adw0rd

Сообщения: 22959 Репутация: N Группа: в ухо

15 января 2011 г. 14:46, спустя 1 час 20 секунд

Hight, я же сказал "и т.д.", это подразумевает ограничения на доступ по ссх для определенного диапазона ип + авторизация по сертификатам и т.д.
то есть не бороться с брутофорсом, а не давать возможности впринципе им заниматься
Спустя 81 сек.
и еще надо быть реалистом, узнать порт то в два счета.. только боты на практике такие тупые, что этого не делают
Спустя 49 сек.
и вообще это накладные расходы для бота

https://smappi.org/ - платформа по созданию API на все случаи жизни
Hight

Сообщения: 1489 Репутация: N Группа: Адекваты

15 января 2011 г. 15:12, спустя 26 минут 11 секунд

adw0rd, понятно. У нас с тобой несколько разные взгляды на защиту ssh. Скажем так, за ботов я не беспокоюсь, а вот за конкретных людей, которые щупают мой сервак за титьки, я волнуюсь. Бот скорее всего не будет искать нужный порт, а человек будет и найдёт и будет брутфорсить его до получения оргазма. А sshguard это прекрасное решение, оно само всё делает. Ничего больше выдумывать и крутить не надо. Всё есть в sshguard.
Sinkler

Сообщения: 7958 Репутация: N Группа: в ухо

21 января 2011 г. 11:57, спустя 5 дней 20 часов 44 минуты

sshguard[13820]: Releasing 95.153.181.6 after 425 seconds.
sshguard[13820]: Setting environment: SSHG_ADDR=123.123.123.1;SSHG_ADDRKIND=4;SSHG_SERVICE=100.
sshguard[13820]: Run command "case $SSHG_ADDRKIND in 4) exec /sbin/iptables -D sshguard -s $SSHG_ADDR -j DROP ;; 6) exec /sbin/ip6tables -D sshguard -s $SSHG_ADDR -j DROP ;; *) exit -2 ;; esac": exited 1.

sshguard[13820]: Release command failed. Exited: -1
а если так?
Hight

Сообщения: 1489 Репутация: N Группа: Адекваты

22 января 2011 г. 7:46, спустя 19 часов 48 минут 59 секунд

Sinkler, где такое пишет и когда?
Sinkler

Сообщения: 7958 Репутация: N Группа: в ухо

22 января 2011 г. 10:49, спустя 3 часа 2 минуты 49 секунд

Sinkler, где такое пишет и когда?
ввел я неправильно три раза пароль, потом девять, меня не забанило, а в логах это вывело
Hight

Сообщения: 1489 Репутация: N Группа: Адекваты

22 января 2011 г. 11:33, спустя 43 минуты 57 секунд

Sinkler, где-то ты косячишь. Меня банит влёт. =)
Sinkler

Сообщения: 7958 Репутация: N Группа: в ухо

22 января 2011 г. 11:35, спустя 2 минуты 28 секунд

четко копипастя и не думаю ставил все себе

а вот тут "&" что в конце значит? или это очепятка?
tail -n 0 -F /var/log/auth.log | sshguard -a 3 -p 420 -s 1200 -b 9:/var/lib/sshguard/blacklist -w /var/lib/sshguard/whitelist &
Hight

Сообщения: 1489 Репутация: N Группа: Адекваты

22 января 2011 г. 13:19, спустя 1 час 43 минуты 45 секунд

Нет, это не очепятка. Без этой закорючки консоль не загружается.
Hight

Сообщения: 1489 Репутация: N Группа: Адекваты

22 января 2011 г. 14:47, спустя 1 час 27 минут 39 секунд

Sinkler, я думаю ты это:

chmod +s /usr/sbin/sshguard

забыл сделать.
Hight

Сообщения: 1489 Репутация: N Группа: Адекваты

2 февраля 2011 г. 12:47, спустя 10 дней 21 час 59 минут

Sinkler, дык, чего там у тебя, получилось?

Кстати, вот эта фича & - это перенаправление вывода, если не ошибаюсь эквивалентно &>/dev/null

Правда отгуглить не получилось.

Страницы: ← Следующая страница →

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

Устанавливаем и настраиваем sshguard на Debian 5.07

Войти