¿Hay un equivalente interno a fail2ban?

Navega tus respuestas
2

fail2ban es una protección contra la fuerza bruta que bloquea a un usuario después de un máximo de intentos de inicio de sesión fallidos definibles.

Pero si un usuario ya tiene acceso a un servidor con otro nombre de usuario, fail2ban ya no está activo desde el interior, por lo que tiene infinitos intentos de fuerza bruta con 

slogin otheruser@localhost

en otra cuenta de usuario.

  • ¿Existe alguna herramienta que pueda instalar en Linux que saque a un usuario después de varios intentos fallidos de local ssh-login ?
  • ¿Y cómo debo configurarlo para que un usuario sea expulsado después de 10 intentos falsos?
pregunta rubo77 07.10.2013 - 20:40
fuente

3 respuestas

7

También puede utilizar fail2ban para esto. Es muy configurable. En este caso, deberá escribir un nuevo filtro para ver sus registros de autenticación. También puede utilizar el método abreviado <HOST> para hacer coincidir los nombres de usuario, ya que deben ajustarse a los parámetros de "nombre de host". También necesitarías escribir una nueva acción para realizar la patada. El manual fail2ban tiene mucha información útil para comenzar.

Como otro ejemplo de extensión de fail2ban, configuré un filtro para ver los propios registros de fail2ban. Si un host 1 activa cualquier combinación de prohibiciones más de 4 veces en un mes, obtiene una prohibición de un mes.

    
respondido por el bonsaiviking 07.10.2013 - 21:39
fuente
3

Si ya ha implementado fail2ban, vaya con él, de lo contrario, y para configuraciones más grandes, OSSEC siempre es bueno para la intrusión basada en host. detección.

Quizás sea un comienzo: buscando la mejor manera de registrar todos los "sudo su - someuser".

así que, chico, tú neva manada por el BOFH , ¿verdad? de lo contrario, conocerá el "Centro de control de operaciones de bastardo" ; otra herramienta para sugerir sería una LART

relacionado:

respondido por el that guy from over there 07.10.2013 - 22:50
fuente
1

sligtly OT: SU sería una razón para expulsar a un usuario para siempre; use SUDO en su lugar, para no tener que dar la contraseña de root.

esto es lo que hacemos:

  • tenemos muchos desarrolladores diferentes en nuestros servidores
  • tenemos un conjunto limitado de tareas que necesitan derechos SUDO, como servicios de prueba / reinicio, limpiezas, etc.
  • tenemos un shell de tareas simple para que los usuarios seleccionen y ejecuten estos comandos a través de bash (se llama bosh : shell de operador bastardo :); esto también evita cosas estúpidas como REINICIAR en lugar de RECARGAR o una CONFIG_TEST olvidada antes de un RECARGADO
  • los que no tienen cuentas shell pueden ejecutar algunas tareas a través de hudson
  • tenemos un taller especial para esos usuarios y documentos adicionales y actualizados disponibles en una wiki
  • TODOS los intentos de sudo / su se registran y se informan
  • si un usuario de shell intenta utilizar sudo o sudo, debe informar POR QUÉ y enfrentarse al LART
  • cada usuario de shell ha firmado un acuerdo "Sé que estoy condenado si trato de h4xor algo"
  • informamos a cada usuario que supervisamos sus pasos
respondido por el that guy from over there 08.10.2013 - 09:22
fuente

Lea otras preguntas en las etiquetas

¿Qué pasa si el usuario no puede responder la pregunta de seguridad durante el restablecimiento de la contraseña? ¿Cuáles son las tasas realistas para el hash de fuerza bruta?