[FoLUG] Connessioni ssh instabili

SkyborgSin skyborgsin@gmail.com
Ven 11 Mar 2011 00:10:43 CET


ti suggerirei fail2ban (
http://www.fail2ban.org/wiki/index.php/Main_Page ), sostanzialmente
una volta configurato per un certo servizio(puņ essere usato per
monitorare ssh, pop3 e diversi altri) verifica i log di connessione e
ogni tot(configurabile) tentativi falliti da un dato ip in un certo
intervallo di tempo(ad esempio, venti tentativi in cinque minuti)
allora viene creata una regola di iptables apposita che banna il
suddetto ip per un periodo configurabile(ad esempio, 1 ora).
Ovviamente fare cento tentativi al minuto puņ dare risultati
apprezzabili su password brevi, mentre venti tentativi all'ora(o meno)
ovviamente č tutta un'altra storia.
Io di mio ho impostato due ore di ban, dieci login falliti
sequenziali, dieci minuti di tempo.
Significa che chi ci vuol provare dopo che ha sbagliato dieci volte in
dieci minuti(di solito questa regola si risolve in "ci provano dieci
volte in cinque secondi, poi scatta") il suddetto indirizzo ip viene
bannato per due ore.

Accorpa a questo programmino scritto in python andhe una password di
decente lunghezza(20-25 caratteri come di media faccio) e presto o
tardi desisteranno...
Del resto, a meno che non monitorizzino assiduamente, chi vorrebbe
accesso a un server che rimane online 1 minuto ogni 2 ore?



Il 10 marzo 2011 23:59, Esoel <esoel.z@gmail.com> ha scritto:
>
> On 10/mar/2011, at 22.39, Esoel wrote:
>
>> Ciao a tutti.
>> Dunque sto smanettando su un server su cui faccio esperimenti, e mi si freezano continuamente le sessioni ssh in seguito a periodi di inattivita`, anche brevi. Il terminale smette di rispondere ad ogni input(persino un ^C, devo chiudere la finestra) e quando mi ricollego il server ha una serie di sessioni "zombie" rimaste attive
>>
> <cut>
>> Consigli? La cosa e` piuttosto irritante...
>> Grazie
>>
>> Esoel
>
> Scusate prima di chiedere avrei dovuto guardare un po' di log :-)
> A giudicare dal numero di righe di login falliti in auth log direi che mi stanno facendo uno (o piu`) bruteforce su ssh. Per ora ho cambiato la porta di ssh. Pensate che sia sufficiente? Voi usate qualche sistema di ids o comunque qualche tool anti-bruteforce nei vostri server?
> Grazie
> Esoel
> _______________________________________________
> FoLUG mailing list
> FoLUG@lists.linux.it
> http://lists.linux.it/listinfo/folug per cancellarsi dalla lista
>


Maggiori informazioni sulla lista FoLUG