https://www.opennet.me/openforum/vsluhforumID1/69146.html Привет всем.<br>Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут ввода пароля,...) логина по ssh?<br>Спасиб. https://www.opennet.me/openforum/vsluhforumID1/69146.html#10 Wed, 14 May 2008 14:08:26 GMT &gt;&gt;Привет всем. <br>&gt;&gt;Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить <br>&gt;&gt;ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут <br>&gt;&gt;ввода пароля,...) логина по ssh? <br>&gt;&gt;Спасиб. <br>&gt;<br>&gt;<br>&gt;http://snort.org/dl/ <br><br>на фрях в PF<br><br>table &lt;sshbr&gt; permanent<br>pass in quick proto tcp from any to ($ext_if) established<br>pass in quick proto tcp from any to ($ext_if) port ssh keep state (max-src-conn 3, max-src-conn-rate 2/60, overload &lt;sshbr&gt; flush)<br>block in quick proto tcp from &lt;sshbr&gt; to ($ext_if) port ssh probability 75%<br><br>в линуксе IPTABLES<br><br>iptables -A INPUT -m state --state ESTABLISHED,RECENT -j ACCEPT<br>iptables -A INPUT -p tcp --dport ssh -m recent --set --name sshbr<br>iptables -A INPUT -p tcp --dport ssh -m recent --update --name sshbr --seconds 60 --hitcount 2 -j DROP<br><br>Не важно правильно или нет введен пароль, после 2 попыток вхождения в минуту и клиент дропается на 1 мин. Для веселой жизни можно не совсем дропать, а частично - https://www.opennet.me/openforum/vsluhforumID1/69146.html#9 Fri, 29 Sep 2006 07:20:33 GMT &gt;Привет всем. <br>&gt;Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить <br>&gt;ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут <br>&gt;ввода пароля,...) логина по ssh? <br>&gt;Спасиб. <br><br><br>http://snort.org/dl/ https://www.opennet.me/openforum/vsluhforumID1/69146.html#8 Fri, 29 Sep 2006 05:41:12 GMT &gt;&gt;А тоже под iptables есть? <br><br><br><br>http://gennadi.dyn.ee/27.html https://www.opennet.me/openforum/vsluhforumID1/69146.html#7 Thu, 28 Sep 2006 09:10:10 GMT &gt;А тоже под iptables есть? <br><br>Используйте DenyHosts он работает на основе hosts.allow без ipfw, pf, iptables. https://www.opennet.me/openforum/vsluhforumID1/69146.html#6 Thu, 28 Sep 2006 08:46:55 GMT А тоже под iptables есть?<br> https://www.opennet.me/openforum/vsluhforumID1/69146.html#5 Tue, 26 Sep 2006 08:55:14 GMT &gt;BruteBlock - работает с ipfw <br>&gt;/usr/ports/security/bruteblock <br>&gt;http://samm.kiev.ua/bruteblock/ <br>О, это уже ближе к теме... <br><br><br>&gt;DenyHosts - позволяет блокировать на определенный срок <br>&gt;/usr/ports/security/denyhosts <br>&gt;http://denyhosts.sourceforge.net/ <br>Тоже поглядим...<br><br>Спасибо за наводки. https://www.opennet.me/openforum/vsluhforumID1/69146.html#4 Tue, 26 Sep 2006 08:23:36 GMT &gt;&gt;Привет всем. <br>&gt;&gt;Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить <br>&gt;&gt;ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут <br>&gt;&gt;ввода пароля,...) логина по ssh? <br>&gt;&gt;Спасиб. <br>&gt;<br>&gt;Bruteforceblocker работает с pf, а у меня ipfw. <br>&gt;А переброска на другой порт для автоматических долбилок мало чем поможет, не <br>&gt;так уж и трудно просканить порты и найти нужный. <br>&gt;В общем, спасибо за подсказки, но у меня пока нет времени возиться <br>&gt;с pf и ставить BFB, думал может как-нить проще можно было <br>&gt;сделать... Жаль, что такой функционал не реализован в самом sshd, было <br>&gt;бы весьма полезно... <br>&gt;Хотя, переставлю sshd на другой порт, как временная мера... <br><br>BruteBlock - работает с ipfw <br>/usr/ports/security/bruteblock<br>http://samm.kiev.ua/bruteblock/<br><br>DenyHosts - позволяет блокировать на определенный срок<br>/usr/ports/security/denyhosts<br>http://denyhosts.sourceforge.net/ https://www.opennet.me/openforum/vsluhforumID1/69146.html#3 Tue, 26 Sep 2006 08:18:07 GMT &gt;Привет всем. <br>&gt;Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить <br>&gt;ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут <br>&gt;ввода пароля,...) логина по ssh? <br>&gt;Спасиб. <br><br>Bruteforceblocker работает с pf, а у меня ipfw.<br>А переброска на другой порт для автоматических долбилок мало чем поможет, не так уж и трудно просканить порты и найти нужный.<br>В общем, спасибо за подсказки, но у меня пока нет времени возиться с pf и ставить BFB, думал может как-нить проще можно было сделать... Жаль, что такой функционал не реализован в самом sshd, было бы весьма полезно...<br>Хотя, переставлю sshd на другой порт, как временная мера... https://www.opennet.me/openforum/vsluhforumID1/69146.html#2 Tue, 26 Sep 2006 07:47:44 GMT &gt;Привет всем. <br>&gt;Достали всякие дятлы, долбящиеся на сервер по ssh. Подскажите, пжалст, можно забанить <br>&gt;ip-адрес скажем, на пару часов, после трех-четырех неудавшихся попыток (неправ.логин/пароль, таймаут <br>&gt;ввода пароля,...) логина по ssh? <br>&gt;Спасиб. <br><br><br>Смотри hosts.allow hosts.deny<br>Как вариант <br>cat /etc/ssh/sshd_config &#124;grep Port<br>Port 22<br><br>Изменить порт на котором работает SSH<br><br><br>MyHomePage - http://surgutnet.ru