On Sunday 01 May 2005 23:03, Fabio Nigi wrote: > ciao a tutti, > vado subito al sodo: > mi ritrova da un perioda a questa parte un numero sempre crescente di > scan e di "tentativi di intrusioni" > la maggior parte grossolani di bruteforce delle password su ssh o di > falsi attacchi per windows. > > succede anche a voi? si, succede anche a me...e abbastanza frequentemente... > come vi regolate? per ora ho fatto in modo che solo due utenti possano accedere via ssh con la direttiva AllowUsers user1 user2 in /etc/ssh/sshd_config così riduco di un po' la probabilità di trovare l'accoppiata giusta :P volendo si potrebbe bannare anche la classe (provengono in maggior parte da cina, giappone, tw....).. sarebbe ottimo anche snort, ma per la potenza della macchina...ehm...lasciamo stare =( > > qualcuno segue una policy precisa a rigurdo? come sopra... > > aggiungo: > ip sempre diversi tipologie quasi sempre diverse.. > quindi una regola di iptables "blocca il bastardo *.*.*.*" > non basta.. per ssh, sarei propenso a blindarlo, visto che, a meno di non usare un ids, non c'è molto da fare... per le tipologie, dipende... ricevo parecchi attacchi ad apache che cercano file di windows... sinceramente non saprei dove andare a parare (gli procurerò dei file fittizzi :P) > Fabio > ciau!! MaXeR -- ~~>MaXeR <~~ Web: http://www.knio.it Icq: 161200863 Blog: http://blog.knio.it Community: http://www.debianizzati.org
Attachment:
pgpMsIW0cQYbD.pgp
Description: PGP signature