Снова ssh и iptables

Knoppix

Модераторы: Warderer, Модераторы разделов

Ответить
Antiever
Сообщения: 14

Снова ssh и iptables

Сообщение Antiever »

Банальный вопрос по закрытию шела вызвал неожиданные проблемы.
AllowUsers root@MYIP в sshd_config не дал результата, решил использовать iptables

Код: Выделить всё

iptables -A INPUT -s! MYIP --dport 22 -j DROP

просто не стал работать. Попробовал порткнокинг:

Код: Выделить всё

#--------------------------------------
iptables -N sshguard
# Если адрес в списке, то подключение разрешено
iptables -A sshguard -m state --state NEW -m recent --rcheck --name SSH -j ACCEPT
# Разрешить пакеты для уже установленных соединений
iptables -A sshguard -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A sshguard -j DROP
# Заносит адрес в список
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
# Удаляет адрес из списка
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
# Применение для трафика ssh цепочку sshguard
iptables -A INPUT --dport 22 -j sshguard
#--------------------------------------

Доступ не закрылся...
Не знаю что и делать.
Скрипт правил имеет такую структуру:

Код: Выделить всё

#!/bin/sh
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s! MYIP  --dport 111 -j DROP
iptables -A INPUT -s! MYIP  --dport 3306 -j DROP
#IP-BANS
iptables -I INPUT -j DROP -s X.X.X.X/16
#etc...
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables-save


Debian Lenny
Linux version 2.6.18 (root@rhel5-build-x64) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Wed Jun 1 13:20:25 MSD 2011
iptables v1.4.8

Причина сброса правила для 22 порта (см выше) мне не ясна, хотя абсолютно идентичные правила для 111 и 3306 портов срабатывают корректно.

Помогите разобраться в ситуации.

Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Снова ssh и iptables

Сообщение SLEDopit »

Antiever писал(а):
17.11.2011 15:51
AllowUsers root@MYIP в sshd_config не дал результата
о.О А перезапускать демон ssh пробовали? (:
И что значит "не дал результата"? Висящие сессии это не прибьёт. Изменения распространяются только на новые сессии.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Antiever
Сообщения: 14

Re: Снова ssh и iptables

Сообщение Antiever »

SLEDopit писал(а):
17.11.2011 16:52
о.О А перезапускать демон ssh пробовали? (:

Я ребутал впс даже, не в этом дело.
"Не дал результата" - подразумевается, что новая сессия с другой машины принимает в качестве логина рута.
Спасибо сказали:
Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current
Контактная информация:

Re: Снова ssh и iptables

Сообщение drBatty »

Antiever писал(а):
17.11.2011 15:51
Банальный вопрос по закрытию шела вызвал неожиданные проблемы.
AllowUsers root@MYIP в sshd_config не дал результата, решил использовать iptables

простите, а зачем тут iptables?
что за проблемы?
что в PermitRootLogin ?
да и вообще, не понимаю, зачем под рутом заходить?
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:
Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Re: Снова ssh и iptables

Сообщение Doublespace »

PermitRootLogin no в sshd_config и на нестандартный порт перевесить еще не помешает, если речь идет о защите от НСД
Спасибо сказали:
Antiever
Сообщения: 14

Re: Снова ssh и iptables

Сообщение Antiever »

Очевидные способы про смену порта, запрет рута, создание ключей и остальное "капитанское наследие" - это понятно (в любом случае, спасибо за советы), но как минимум хотелось бы понять почему не работает то, что должно работать.
Спасибо сказали:
mailman137
Сообщения: 492
ОС: Debian-based mixed

Re: Снова ssh и iptables

Сообщение mailman137 »

но как минимум хотелось бы понять почему не работает то, что должно работать.

Antiever
Вы человек, безусловно, сведущий; но все же скромно осмеливаюсь спросить (не желая
при этом выглядеть капитанообразным):
А не пытались ли Вы потестить Ваш сервер на предмет уязвимостей (безопасности вообще)?
А то ведь бывает, что некто уже вполне успешно осуществил это наперед Вас (упаси Бог).
Спасибо сказали:
Antiever
Сообщения: 14

Re: Снова ssh и iptables

Сообщение Antiever »

бывает, что некто уже вполне успешно осуществил это наперед Вас (упаси Бог)

Это как раз и есть часть превентивных мер.
И в процессе столкнулся с "несрабатывающими правилами"...

Поскольку по умолчанию запрещающая политика, пробовал и так:

Код: Выделить всё

iptables -I INPUT 1 -s X.X.X.X --dport 22 -j ACCEPT


Все равно доступ с любых айпи есть.
Спасибо сказали:
Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current
Контактная информация:

Re: Снова ssh и iptables

Сообщение drBatty »

drBatty писал(а):
17.11.2011 17:32
простите, а зачем тут iptables?

http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:
Antiever
Сообщения: 14

Re: Снова ssh и iptables

Сообщение Antiever »

drBatty писал(а):
17.11.2011 17:32
простите, а зачем тут iptables?

Затем, что
AllowUsers root@MYIP в sshd_config не дал результата, решил использовать iptables

как еще можно реализовать решение доступа с определенного ip?
Предложите другие варианты.
Ну и естественно
хотелось бы понять почему не работает то, что должно работать

Спасибо сказали:
Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current
Контактная информация:

Re: Снова ssh и iptables

Сообщение drBatty »

Antiever писал(а):
22.11.2011 17:04
как еще можно реализовать решение доступа с определенного ip?

В мане я вообще не нашёл именно AllowIP.
Лично я-бы вообще запретил логин root'а. Но в вашем примере MYIP значит ваш IP? Но по ману там должен стоять ваш hostname. Видимо в этом причина.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:
mailman137
Сообщения: 492
ОС: Debian-based mixed

Re: Снова ssh и iptables

Сообщение mailman137 »

Разговор вроде бы обретает направление, но на разных наречиях.
Antiever
Я бы на Вашем месте для начала развернул бы подобный Вашему сервер локально
и попытался бы применить к нему все то, что Вам требуется.
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: Снова ssh и iptables

Сообщение sash-kan »

Antiever
достоточно и sshd_config-а·
в начале файла (чтобы перекрыть другие явные упоминания этих опций) впишите:
gssapiauthentication no
hostbasedauthentication no
kbdinteractiveauthentication no
kerberosauthentication no
passwordauthentication no
pubkeyauthentication no
rhostsrsaauthentication no
rsaauthentication no

это запрет _всех_ методов аутентификации·

в конце файла добавьте строку:
match user foo address bar

и сразу под ней перечислите методы аутентификации, которые вам нужны·
например:
pubkeyauthentication yes
passwordauthentication yes

теперь залогиниться с помощью любого из перечисленных в конце файла методов аутентификации сможет только пользователь foo, обратившись к sshd с хоста bar·
по поводу имени (или ip-адреса):
именно так, как он указан, должен его воспринимать sshd·
т.е. если вы, допустим, залогинитесь на bar (резолвится, например, в 172.16.0.1), и попробуете оттуда залогиниться на настраиваемый вами сервер, а на сервере будет видно, что вы обращаетесь не с 172.16.0.1, а, допустим, с 8.8.8.8, или, к примеру, имя bar sshd-емоном будет разрезолвлено в адрес 192.168.0.1, то ничего из попыток логина не выйдет·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: Снова ssh и iptables

Сообщение sash-kan »

Antiever писал(а):
17.11.2011 15:51
AllowUsers root@MYIP в sshd_config не дал результата
да с чего бы? неужели вы в man sshd_config не заглядывали прежде чем такую конструкцию придумывать?
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
mailman137
Сообщения: 492
ОС: Debian-based mixed

Re: Снова ssh и iptables

Сообщение mailman137 »

Прошу прощения, но регистр имеет значение? Нет?

Код: Выделить всё

 user@debian:~$ less /etc/ssh/sshd_config |grep -i gssapiauthentication
 #GSSAPIAuthentication no

И вообще с PermitRootLogin no
об рутовом входе не может быть и речи.
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: Снова ssh и iptables

Сообщение sash-kan »

mailman137 писал(а):
22.11.2011 20:14
Прошу прощения, но регистр имеет значение? Нет?
регистр не имеет значения, да·

mailman137 писал(а):
22.11.2011 20:14
И вообще с PermitRootLogin no
а с чего вы решили, что топик-стартер догадывается о существовании базовых принципов безопасности?
злобных аутобуратин на свете значительно больше, чем мудрых тортилл…
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
Antiever
Сообщения: 14

Re: Снова ssh и iptables

Сообщение Antiever »

sash-kan, спасибо.
А почему все таки правило фаервола не работает? Мне действительно интересно, таким макаром могут и другие правила в будущем "пролетать"...
Спасибо сказали:
mailman137
Сообщения: 492
ОС: Debian-based mixed

Re: Снова ssh и iptables

Сообщение mailman137 »

а с чего вы решили, что топик-стартер догадывается о существовании базовых принципов безопасности?
злобных аутобуратин на свете значительно больше, чем мудрых тортилл…

sash-kan
Мне по душе Ваш сарказм и вообще я Вас здорово уважаю.
Однако мне доводилось видеть чей-то ipv6-ресурс, где отплясывала samba с анонимным доступом.
Впрочем, если это был honeypot, мне это тоже по душе.
А догадываться о принципах безопасности ТС просто обязан по роду деятельности в виде администрирования сервера.
Мне домашний Линукс взламывали дважды, так что что уж там говорить о публичном ресурсе...
Спасибо сказали:
Ответить