Лог-файл аутентификации

[galich]

Sep  4 12:26:53 mail sshd[6780]: Failed password for root from 99.192.163.112 port 63918 ssh2
Sep  4 12:26:56 mail sshd[6783]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=99.192.163.112  user=root
Sep  4 12:26:58 mail sshd[6783]: Failed password for root from 99.192.163.112 port 64343 ssh2
Sep  4 12:27:00 mail sshd[6785]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=99.192.163.112  user=root
Sep  4 12:27:02 mail sshd[6785]: Failed password for root from 99.192.163.112 port 64727 ssh2

Не попытка ли хака?

[fisher74]

Ну и чё?
правда так можно говорить если демон ssh настроен правильно. Ну как минимум

Код: [Выделить]

PermitRootLogin no

[Mam(O)n]

Боты работают. Им только открой ssh, они на него как мухи налетают... Я уже давно не держу ssh на стандартном порту, логи засираются быстро...

[Гарри Кашпировский]

Боты эта боты, пользуйтесь авторизацией по ключу и настройте iptables

Код: [Выделить]

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHECK
-A SSH_CHECK -m recent --set --name SSH --rsource
-A SSH_CHECK -m recent --update --seconds 120 --hitcount 4 --name SSH --rsource -j DROP

[Romon]

А можно подробнее, о том, что делает следующая цепочка:

Код: [Выделить]

-A SSH_CHECK -m recent --set --name SSH --rsource
-A SSH_CHECK -m recent --update --seconds 120 --hitcount 4 --name SSH --rsource -j DROP

что-то никак не разберу 

[Гарри Кашпировский]

Сбрасывает подключение, если количество попыток за две минуты больше 4-х.

[Romon]

Я в принципе догадывался, спасибо большое за подсказку добавлю и себе, а то тоже периодически пытается конектиться какая-то гадость, а ип у меня сейчас динамический, поэтому полностью не перекрыть SSH.

[AnrDaemon]

Сбрасывает подключение, если количество попыток за две минуты больше 4-х.

Больше 4 или 4 и больше?

[Romon]

Опытным путём выходит, что БОЛЬШЕ 3, на 4-ой попытке уже сбрасывает(Вариант: 4 и больше).

[vadim-nsk]

а я лентяй и пользуюсь fail2ban

[AnrDaemon]

Мило, мило.
Я так сделал:
(только относящиеся к делу строчки)

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.3.8 on Wed Sep 15 23:59:54 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:SSH_CHECK - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.17.0/255.255.255.0 -i ! eth0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHECK
...
-A INPUT -i ! eth0 -j LOG
-A SSH_CHECK -m recent --set --name SSH --rsource
-A SSH_CHECK -m recent --update --seconds 60 --hitcount 3 --name SSH --rsource -j DROP
-A SSH_CHECK -j ACCEPT
COMMIT
# Completed on Wed Sep 15 23:59:54 2010

Все новые соединения направляются на проверку на предмет долбёжки.

Чтобы ускорить процесс долбления, в /etc/ssh/sshd_config стоит добавить

Код: [Выделить]

MaxAuthTries 1 - тогда брутфорсеров будет скипать после двух неудачных логинов (вместо семи по умолчанию) и частота реконнектов увеличится.

Эту же цепочку, так как в ней не используется явного определения портов, можно использовать для любого порта, который надо прикрыть от долбления.
Просто написать вместо -j ACCEPT - -j SSH_CHECK...

-A INPUT -p tcp -m tcp --dport 2401 -m state --state NEW -j SSH_CHECK

добавит проверку дятлов на порту CVS сервера.

[AnrDaemon]

Мдя. Поигрался с моим вариантом, и понял, что есть некоторые трудности, в основном физиологического порядка (например, представляет некоторую трудность мониторить "живость" сервера минутными пингами и не утыкаться в ловушку при подключении консоли с того же IP).

Итоговый вариант (с учётом физиологических особенностей использования):

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:SSH_CHECK - [0:0]
# Usual stuff...
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
# Local network. A bit scary but generally safe to allow all things these pests could do.
-A INPUT ! -i eth0 -s 192.168.17.0/255.255.255.0 -m conntrack --ctstate NEW -j ACCEPT
# Flood/portscan check. Basically - aggregating all monitored ports into one rule, to make portscan looks like flood to the system.
-A INPUT -p tcp -m multiport --dports 9,22,25,110,4899 -m conntrack --ctstate NEW -j SSH_CHECK
# And now, we be dealin' with only connections that made it past the generic flood check.
-A INPUT -p tcp -m tcp --dport 9 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 110 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
# Log everything that made it past the rules up there and didn't came from the wild.
-A INPUT ! -i eth0 -j LOG
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD ! -i eth0 -s 192.168.17.0/255.255.255.0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD ! -i eth0 -j LOG
# Here is the check.
# If we happen to have completely new client - create a new record for it. If it's exist already - it'll be updated.
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --name SSH --rsource --set
# We first check, if there's existing record(s) for originating IP in the list, how old it is, and how many of them we have.
# If all limits are exceeded, the connection will be dropped.
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable

COMMIT