Настройка ssh

[xtron]

Здравствуйте.

Возникла такая проблемка:

Есть локальная сеть в которой крутится sshd на одном из серверов, к этому sshd разрешен доступ из интернета через DNAT на шлюзе.
Последнее время в логах ssh стал замечать, что некоторые "хакеры" пытаются войти из интернета на ssh и занимаются перебором
паролей (по 2-3 часа). Все бы ничего, но все их попытки "кушают" интернет-трафик который,
к сожалению, не бесплатный.

Хотелось бы замутить такую вещь: После 3х разового неуспешного коннекта/3х неправильных наборов логина или пароля пользователь
блокировался навечно.(то есть полностью не мог достучаться до сервера).

Вот текущие настройки sshd:

Port 22
Protocol 2
HostKey XXXXXXXXXXXXXXXXXXXXXXXXX
HostKey XXXXXXXXXXXXXXXXXXXXXXXXX
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 100
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
PasswordAuthentication no
X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
Subsystem sftp /usr/lib/sftp-server
UsePAM yes

P.S.
(решение черз iptables/ipchains не предлагать, так как это требует пересборки ядра что на "горячем" сервере невозможно).

[vg2.0]

PermitRootLogin yes :o
Вы что, здесь обязательно должно быть no.

Рекомендую вот такую вещь

Код: Выделить всё

AllowGroups wheel
AllowUsers имена_юзеров_для которых разрешено ходить по ssh
PermitRootLogin no

[Alexxx]

Ещё можно добавить строчку

Код: Выделить всё

AllowUsers юзеры которым разрешён доступ

Потом в /etc/hosts.allow прописать разрешённые IP, в /etc/hosts.deny

Код: Выделить всё

ALL: ALL@ALL, PARANOID

[kusok]

Я в своё время просто sshd на другой порт перевесил - сразу эдак раз в 20 меньше подобных перцев стало ломиться.

[xtron]

Да, PermitRootLogin надо точно в "no" поставить а то кто его знает Порт сменить тоже полезно- но это неполное решение. По поводу
hosts.allow и hosts.deny так просто не пройдет, так как есть dial in клиенты у которых ip динамический. Хотелось бы решение, чтобы sshd сам добавлял в файл hosts.deny адреса "хакеров" которые раза три подрят неуспешно подключились.

Я в своё время просто sshd на другой порт перевесил - сразу эдак раз в 20 меньше подобных перцев стало ломиться.

Щас только перцы поумнее стали, научились всякими сканерами типа Xspider'a пользоваться.

AllowGroups wheel
AllowUsers имена_юзеров_для которых разрешено ходить по ssh

По ssh разрешено ходить всем имеющим локальный вход пользователям, так что это погоду не сделает, у остальных просто оболочка стоит в /bin/false так что даже если и они каким то образом залогинятся - система их тутже выбростит.

[Aleks_dem]

а против таких снорт юзать ,)

[Angel_13th]

xtron
Выход один в твоей ситуевине, писать простейший скрипт! Который парcит логи находит 3 неудавшихся подключения, и заносит ip в hosts.deny. Но есть вероятность того что какой нить забывчивый пользователь будет часто попадать в блок, и таким образом может заблокировать часть диапазона ip адресов.

[xtron]

xtron
Выход один в твоей ситуевине, писать простейший скрипт! Который парcит логи находит 3 неудавшихся подключения, и заносит ip в hosts.deny. Но есть вероятность того что какой нить забывчивый пользователь будет часто попадать в блок, и таким образом может заблокировать часть диапазона ip адресов.

Придется так и делать. Всем спасибо.

[WarlorD]

тем более что там нечего особо писать, еще можно чтобы в abuse прова скрипт автоматом отсылал такого или iptables-ом заворачивал куда-нидь его.

[Angel_13th]

WarlorD
У человека нету iptables.

[murder]

Потом в /etc/hosts.allow прописать разрешённые IP, в /etc/hosts.deny

Код: Выделить всё

ALL: ALL@ALL, PARANOID

А hosts.allow и hosts.deny работают по какому принципу? и можно прописать для определенных сервисов?

[xtron]

Потом в /etc/hosts.allow прописать разрешённые IP, в /etc/hosts.deny

Код: Выделить всё

ALL: ALL@ALL, PARANOID

А hosts.allow и hosts.deny работают по какому принципу? и можно прописать для определенных сервисов?

Смотри в сторону man hosts.allow и man hosts.deny