software para mantener una lista de IP que intenta acceder a ssh sobre un conjunto de reglas y factibilidad

Navega tus respuestas
5

Me interesa el software o el conjunto de scripts para mantener una lista de IP filtrada que intente aplicar fuerza bruta a ssh, y para etiquetar una IP como fuerza bruta agregaría algunas comprobaciones como:

  • un intento de iniciar sesión como raíz es una prohibición
  • tres intentos de iniciar sesión como usuario inexistente en un día es una prohibición
  • un escaneo de puerto es una prohibición (sé que hay herramientas para esto como psad )

Me pregunto si hay una herramienta que permita esto. Además, ¿cree que es posible mantener listas tan crecientes o hay mejores enfoques para esto?

Dados los niveles de tráfico ssh de fuerza bruta que recibo, tengo la tentación de filtrar todo de forma predeterminada y los ips específicos del cliente de la lista blanca (no hospedo web, así que es una opción) pero me gustaría escuchar otros enfoques para este asunto

gracias!

    
pregunta lurscher 06.06.2011 - 20:22
fuente

4 respuestas

8

Fail2ban tiene diferentes valores predeterminados, pero creo que probablemente podría configurarlo según sus deseos. Personalmente, creo que los 10 inicios de sesión incorrectos por IP predeterminados son más que suficientes para mantener bajos los recursos y evitar el bloqueo por error tipográfico o brainfart.

    
respondido por el Jeff Ferland 06.06.2011 - 20:58
fuente
4

Considere el uso de OSSEC .

Puede crear reglas personalizadas basadas en el conjunto de reglas predeterminado de OSSEC. Por ejemplo, OSSEC alerta de forma predeterminada sobre los siguientes eventos SSH:
enlace

Un ejemplo de una regla personalizada: 

<rule id=“100005” level=“10” frequency=“3” timeframe=“600”>
<if_matched_sid>100124</if_matched_sid>
<description>3 Failed passwords within 10 minutes</description>
</rule>

Puede crear respuestas activas personalizadas (por ejemplo, llamar a un script para agregar reglas de iptables o agregar la IP de origen a un archivo plano o base de datos):
enlace

    
respondido por el Tate Hansen 06.06.2011 - 23:39
fuente
4

DenyHosts es un software de mitigación de ataques ssh que utiliza una base de datos compartida para identificar y prevenir ataques ssh. Tiene una buena configuración configurable y está escrito en Python, por lo que es portátil. Además, tiene una hermosa página de estadísticas .

    
respondido por el this.josh 15.07.2011 - 20:55
fuente
4

O configurar el sshd

  • para permitir el inicio de sesión basado en el par de llaves
  • no permitir el inicio de sesión basado en contraseña
  • no permitir el inicio de sesión de root
respondido por el yfeldblum 15.07.2011 - 22:08
fuente

Lea otras preguntas en las etiquetas

Seguimiento de una computadora portátil robada que tiene una contraseña de inicio de sesión ¿Cuáles son las implicaciones de usar los mismos parámetros DH en un servidor TLS?