HOWTO - Zabezpieczamy SSH przed BRUTE FORCE

[Hunter]

Zakladamy ze musimy udostepnic na wan'ie ssh,ftp. W /var/log/auth.log otrzymujemy komunikaty o probach logowania jako root etc. Jest na to prosty sposob:

instalujemy denyhosts http://sourceforge.net/projects/denyhosts/files/
edytujemy plik konfiguracjyny vi /etc/denyhosts.conf

Ustawiamy:

PURGE_DENY = # ustawiamy time bana, puste oznacza bana dozywotniego
BLOCK_SERVICE = ALL  # blokujemy wszystkie uslugi
DENY_THRESHOLD_INVALID = 5 # po ilu nieudanych probach logowania IP ma być blokowany dla kont których nie ma w /etc/passwd
DENY_THRESHOLD_VALID = 10 # to samo co wyzej tylko tyczy sie kont ktore rzeczywiscie istnieja na serwerze
DENY_THRESHOLD_ROOT = 1 # momentalnie blokuje proby logowania na konto root
ADMIN_EMAIL = [EMAIL="[email protected]"][email protected][/EMAIL] # na jaki adres email wysylac raporty o zablokowanych hostach
SMTP_HOST = domena.pl # host poczty np. poczta.o2.pl etc. SMTP_PORT = 25
SMTP_USERNAME=login
SMTP_PASSWORD=haslo
SYNC_SERVER = [URL="http://xmlrpc.denyhosts.net:9911/"]http://xmlrpc.denyhosts.net:9911[/URL] # ustawiamy sync serwer
SYNC_INTERVAL = 1h # jak czesto ma aktualizowac baze blokowanych ip SYNC_UPLOAD = yes # zezwalamy na wysylanie raportow o atakach na nasza maszyne
SYNC_DOWNLOAD = yes # zezwalamy na pobieranie bazy blokowanych ip

zapisujemy i restartujemy usluge:

/etc/rc.d/denyhosts restart

lub

/etc/init.d/denyhosts restart

logi programu: /var/log/denyhosts
w /etc/hosts.deny mozemy obserwowac liste blokowanych ip

// Niestety synchronizacja nie dziala poprawnie, aby naprawic usterke wykonujemy nastepujace kroki:

vi /usr/share/denyhosts/DenyHosts/sync.py

zmieniamy:

fp = open(os.path.join(self.__work_dir,
SYNC_TIMESTAMP), "a")

na

fp = open(os.path.join(self.__work_dir,
SYNC_TIMESTAMP), "w")

fixujemy timestamp /1h:

vi /var/lib/denyhosts/sync-timestamp

domyslna wartosc zmieniamy na:

1285624219

restartujemy usluge:

/etc/rc.d/denyhosts restart

lub

/etc/init.d/denyhosts restart

e0t