Comments on: Using iptables to prevent SSH brute force http://voituk.kiev.ua/2009/06/21/using-iptables-to-prevent-ssh-brute-force/ while ( isAlive() ) {doCode(); doFun();} Wed, 01 Feb 2012 08:48:59 +0000 hourly 1 http://wordpress.org/?v=3.0 By: Arkady http://voituk.kiev.ua/2009/06/21/using-iptables-to-prevent-ssh-brute-force/comment-page-1/#comment-44793 Arkady Wed, 11 Nov 2009 15:32:23 +0000 http://voituk.kiev.ua/?p=1061#comment-44793 Мне больше всего нравится http://denyhosts.sourceforge.net/ Он сканирует auth.log и через tcp-wrapers блокирует хост. Мне больше всего нравится http://denyhosts.sourceforge.net/
Он сканирует auth.log и через tcp-wrapers блокирует хост.

]]> By: squirL http://voituk.kiev.ua/2009/06/21/using-iptables-to-prevent-ssh-brute-force/comment-page-1/#comment-38701 squirL Sat, 18 Jul 2009 11:07:45 +0000 http://voituk.kiev.ua/?p=1061#comment-38701 вот только злые боты - брутфорсят с ботнетов. адреса разные, т. е. за промежуток времени - никто не делает более 5 попыток. я, обычно, просто перевешиваю ssh на другой порт :) вот только злые боты – брутфорсят с ботнетов. адреса разные, т. е. за промежуток времени – никто не делает более 5 попыток. я, обычно, просто перевешиваю ssh на другой порт :)

]]> By: crud http://voituk.kiev.ua/2009/06/21/using-iptables-to-prevent-ssh-brute-force/comment-page-1/#comment-37572 crud Tue, 23 Jun 2009 11:31:34 +0000 http://voituk.kiev.ua/?p=1061#comment-37572 # занесенные в whitelist IP for I in 88.81.251.200 88.81.251.194 213.227.195.211; do # Пишем в лог $IPTABLES -A SSH_BF -j LOG –log-prefix “SSH Brute Force Attempt: ” # занесенные в whitelist IP
for I in 88.81.251.200 88.81.251.194 213.227.195.211; do

# Пишем в лог
$IPTABLES -A SSH_BF -j LOG –log-prefix “SSH Brute Force Attempt: ”

]]> By: crud http://voituk.kiev.ua/2009/06/21/using-iptables-to-prevent-ssh-brute-force/comment-page-1/#comment-37571 crud Tue, 23 Jun 2009 11:27:24 +0000 http://voituk.kiev.ua/?p=1061#comment-37571 как вариант также можно использовать следующую конструкцию $IPTABLES -F $IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH $IPTABLES -N SSH_WHITELIST $IPTABLES -N SSH_BF $IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST for I in 88.81.251.200 88.81.251.194 213.227.195.211; do $IPTABLES -A SSH_WHITELIST -s $I -m recent --remove --name SSH -j ACCEPT done $IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSH --set --rsource -j SSH_BF $IPTABLES -A SSH_BF -m recent ! --rcheck --seconds 60 --hitcount 3 --name SSH --rsource -j RETURN $IPTABLES -A SSH_BF -j LOG --log-prefix "SSH Brute Force Attempt: " $IPTABLES -A SSH_BF -p tcp -j DROP Здесь есть йункционеал занесения IP атакующего в лог (/var/log/messages) а также организатор whitelist в виде цикла. Как фишка IP в чёрном листе флушаются через 60 секунд. как вариант также можно использовать следующую конструкцию
$IPTABLES -F
$IPTABLES -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
$IPTABLES -N SSH_WHITELIST
$IPTABLES -N SSH_BF
$IPTABLES -A INPUT -p tcp –dport 22 -m state –state NEW -j SSH_WHITELIST
for I in 88.81.251.200 88.81.251.194 213.227.195.211; do
$IPTABLES -A SSH_WHITELIST -s $I -m recent –remove –name SSH -j ACCEPT
done
$IPTABLES -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –name SSH –set –rsource -j SSH_BF
$IPTABLES -A SSH_BF -m recent ! –rcheck –seconds 60 –hitcount 3 –name SSH –rsource -j RETURN
$IPTABLES -A SSH_BF -j LOG –log-prefix “SSH Brute Force Attempt: ”
$IPTABLES -A SSH_BF -p tcp -j DROP

Здесь есть йункционеал занесения IP атакующего в лог (/var/log/messages) а также организатор whitelist в виде цикла. Как фишка IP в чёрном листе флушаются через 60 секунд.

]]>