BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: Защита от подбора пароля к SSH в Linux  (Прочитано 2327 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Khutr

  • Гость
Защита от подбора пароля к SSH в Linux
« : Ноябрь 24, 2014, 02:36:41 pm »
Пошел искать логи установленных пакетов и обновок, не умышленно ткнулся в auth.log
был очень удивлен увиденным:

Спойлер
Search "Failed password" (4485 hits in 1 file)
   Line 18042: Nov 23 17:07:47 srv0 sshd[28223]: Failed password for root from 122.225.109.201 port 8466 ssh2
   Line 18043: Nov 23 17:07:47 srv0 sshd[28199]: Failed password for admin from 122.225.109.201 port 6955 ssh2
   Line 18044: Nov 23 17:07:50 srv0 sshd[28223]: Failed password for root from 122.225.109.201 port 8466 ssh2
   Line 22890: Nov 23 19:41:53 srv0 sshd[3447]: Failed password for root from 115.29.238.227 port 1676 ssh2
   Line 22904: Nov 23 19:42:04 srv0 sshd[3447]: Failed password for root from 115.29.238.227 port 1676 ssh2
   Line 22905: Nov 23 19:42:06 srv0 sshd[3447]: Failed password for root from 115.29.238.227 port 1676 ssh2
   Line 22923: Nov 23 19:43:03 srv0 sshd[3495]: Failed password for root from 115.29.238.227 port 2961 ssh2
   Line 22926: Nov 23 19:43:05 srv0 sshd[3495]: Failed password for root from 115.29.238.227 port 2961 ssh2
   Line 22937: Nov 23 19:43:08 srv0 sshd[3495]: Failed password for root from 115.29.238.227 port 2961 ssh2
   Line 22955: Nov 23 19:43:36 srv0 sshd[3521]: Failed password for root from 115.29.238.227 port 4185 ssh2
   Line 22969: Nov 23 19:44:06 srv0 sshd[3521]: Failed password for root from 115.29.238.227 port 4185 ssh2
   Line 22987: Nov 23 19:44:42 srv0 sshd[3577]: Failed password for root from 115.29.238.227 port 2183 ssh2
   Line 23005: Nov 23 19:45:15 srv0 sshd[3610]: Failed password for root from 115.29.238.227 port 3112 ssh2
   Line 23023: Nov 23 19:45:39 srv0 sshd[3638]: Failed password for root from 115.29.238.227 port 4102 ssh2
   Line 23040: Nov 23 19:46:12 srv0 sshd[3662]: Failed password for root from 115.29.238.227 port 1299 ssh2
   Line 23058: Nov 23 19:46:45 srv0 sshd[3687]: Failed password for root from 115.29.238.227 port 1906 ssh2
   Line 23076: Nov 23 19:47:23 srv0 sshd[3731]: Failed password for root from 115.29.238.227 port 2977 ssh2
   Line 32369: Nov 24 01:56:22 srv0 sshd[20950]: Failed password for root from 61.174.51.224 port 58234 ssh2
   Line 32370: Nov 24 01:56:24 srv0 sshd[20948]: Failed password for root from 61.174.51.224 port 56765 ssh2
   Line 32371: Nov 24 01:56:24 srv0 sshd[20950]: Failed password for root from 61.174.51.224 port 58234 ssh2
   Line 32372: Nov 24 01:56:26 srv0 sshd[20948]: Failed password for root from 61.174.51.224 port 56765 ssh2
   Line 32373: Nov 24 01:56:27 srv0 sshd[20950]: Failed password for root from 61.174.51.224 port 58234 ssh2

Строчек тысячи...
Подскажите как защититься то от нехороших людей.
Перенос на другой порт шела не подходит, ибо по разным портам бьет кракер.

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Защита от подбора пароля к SSH в Linux
« Ответ #1 : Ноябрь 24, 2014, 02:45:27 pm »
Поставь fail2ban и будет тебе счастье )

З.Ы, Для версий CentOS ниже 7, процесс установки описывал здесь.
« Последнее редактирование: Ноябрь 24, 2014, 02:48:07 pm от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Khutr

  • Гость
Re: Защита от подбора пароля к SSH в Linux
« Ответ #2 : Ноябрь 24, 2014, 03:17:57 pm »
как быть если это Zentyal основанный на ubuntu и в нём есть свой фаервол?

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Защита от подбора пароля к SSH в Linux
« Ответ #3 : Ноябрь 24, 2014, 03:28:44 pm »
Теоретически - если фаервол на базе iptables, то ставишь как доп софт и настраиваешь... в соответствии с нуждами, правила по бану будут создаваться и удалаться автоматически

Khutr

  • Гость
Re: Защита от подбора пароля к SSH в Linux
« Ответ #4 : Ноябрь 24, 2014, 03:52:36 pm »
* Restarting authentication failure monitor fail2ban                                                                           
* Socket file /var/run/fail2ban/fail2ban.sock is present [fail]

не запускается, по дефолту jail.local набит конфигом его удалять весь?
Хотя настры там в false все кроме ssh

можешь скинуть свой настроенный конфиг, только без IP само собой.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Защита от подбора пароля к SSH в Linux
« Ответ #5 : Ноябрь 24, 2014, 04:14:38 pm »
Дело не в jail, проблема с запуском сокета, проверь наличие файла (судя по сообщению он есть), если есть удали его и заново стартани сервис - service fail2ban start, должно помочь... После запуска сервиса уже можно проверить jail путем просмотра статуса состояния службы или путем обращения к клиенту fail2ban-client  -i, у меня конфиг так же по умолчанию, за исключением таймаутов и почтового адреса получателя уведомлений ))

Khutr

  • Гость
Re: Защита от подбора пароля к SSH в Linux
« Ответ #6 : Ноябрь 24, 2014, 04:16:37 pm »
Проверить наличие какого файла? и какой удалить? :huh:

upd: fail2ban.sock понял.

Khutr

  • Гость
Re: Защита от подбора пароля к SSH в Linux
« Ответ #7 : Ноябрь 24, 2014, 04:21:55 pm »
/run/fail2ban$ service fail2ban start
 * Starting authentication failure monitor fail2ban                             
start-stop-daemon: unable to set gid to 0 (Operation not permitted)
                                                                                                               [fail]

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Защита от подбора пароля к SSH в Linux
« Ответ #8 : Ноябрь 24, 2014, 04:32:56 pm »
попробуй так - sudo service fail2ban start

Khutr

  • Гость
Re: Защита от подбора пароля к SSH в Linux
« Ответ #9 : Ноябрь 24, 2014, 04:47:29 pm »
запустился, fail2ban-client  -i
попадаю на:

khutrae@srv0:~$ fail2ban-client  -i
Fail2Ban v0.8.10 reads log file that contains password failure report
and bans the corresponding IP addresses using firewall rules.

fail2ban> status ssh-iptables
ERROR  Unable to contact server. Is it running?
fail2ban>
« Последнее редактирование: Ноябрь 24, 2014, 04:54:57 pm от Khutr »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Защита от подбора пароля к SSH в Linux
« Ответ #10 : Ноябрь 24, 2014, 05:02:10 pm »
Попрбуй через sudo:
sudo fail2ban-client -i
« Последнее редактирование: Ноябрь 24, 2014, 05:12:04 pm от sysadmin »

Khutr

  • Гость
Re: Защита от подбора пароля к SSH в Linux
« Ответ #11 : Ноябрь 24, 2014, 05:06:26 pm »
khutrae@srv0:~$ sudo /etc/init.d/fail2ban status
 * Status of authentication failure monitor                                                                                                                       *  fail2ban is running
В общем он работает. ip tables не отдает,
fail2ban> status ssh-iptables
Sorry but the jail 'ssh-iptables' does not exist

Протестировал ip банит. :) самое что хотел добился, через час проверю удаляет или нет.

Chain fail2ban-ssh (2 references)
target     prot opt source               destination
REJECT     all  --  195.189.69.227       anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Вот что в логе, /var/log/fail2ban.log

2014-11-24 16:58:51,358 fail2ban.actions: WARNING [ssh] Ban 195.189.69.227
2014-11-24 17:03:56,524 fail2ban.comm   : WARNING Command ['status', 'ssh-iptables'] has failed. Received UnknownJailException('ssh-iptables',)
« Последнее редактирование: Ноябрь 24, 2014, 05:09:50 pm от Khutr »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Защита от подбора пароля к SSH в Linux
« Ответ #12 : Ноябрь 24, 2014, 05:19:24 pm »
В jail включен SSH? Посмотри конфиг правила sshd.conf в папке filter.d он на месте, в нем есть содержимое (не пустой)?

Khutr

  • Гость
Re: Защита от подбора пароля к SSH в Linux
« Ответ #13 : Ноябрь 24, 2014, 05:29:42 pm »
[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1/8 195.189.ХХ.ХХХ

# "bantime" is the number of seconds that a host is banned.
bantime  = 3600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600
maxretry = 3

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

khutrae@srv0:/etc/fail2ban/filter.d$ sudo nano sshd.conf
  GNU nano 2.2.6              File: sshd.conf

#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|err$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying$
            ^%(__prefix_line)sFailed \S+ for .* from <HOST>(?: port \d*)?(?: ss$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not liste$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not in an$
            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because a group i$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because none of u$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

upd: на почту тоже не приходят уведомления, кстати разбанил IP после таймера автоматом.

upd2: все разобрался, настроил (конфиг корявый был)

Hi,

The jail SSH has been started successfully.

Regards,

Fail2Ban

Хм... следом пришло ещё одно:

Hi,

The jail SSH has been stopped.

Regards,

Fail2Ban

фааак.
« Последнее редактирование: Ноябрь 25, 2014, 08:34:01 am от sysadmin »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8290
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Защита от подбора пароля к SSH в Linux
« Ответ #14 : Ноябрь 25, 2014, 08:33:09 am »
Цитировать
upd2: все разобрался, настроил (конфиг корявый был)

Что именно было?

Залезь в логи посмотри, возможно детали проблемы указаны там... Так же в самом fail2ban можно включить отладочный режим логирования, выставив DEBUG у параметра loglevel в файле -  /etc/fail2ban/fail2ban.conf:
loglevel = 4

Для удобства вывод можно направить в отдельный файл (по умолчанию пишет в Syslog):
logtarget = /var/log/fail2ban.log
« Последнее редактирование: Ноябрь 25, 2014, 08:41:29 am от sysadmin »


moved
Перенесено: Защита от подбора пароля к SSH в Linux

Автор sysadmin

0 Ответов
2 Просмотров
Последний ответ Декабрь 04, 2016, 02:40:56 pm
от sysadmin
xx
Генерация пароля в Linux

Автор sysadmin

0 Ответов
757 Просмотров
Последний ответ Февраль 12, 2014, 04:10:19 pm
от sysadmin
xx
Linux сброс пароля MySQL

Автор sysadmin

2 Ответов
303 Просмотров
Последний ответ Февраль 20, 2016, 04:18:00 pm
от sysadmin
xx
Linux - быстрая генерация пароля без дополнительного ПО

Автор sysadmin

0 Ответов
216 Просмотров
Последний ответ Февраль 28, 2016, 02:07:33 pm
от sysadmin