[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Göra burken säker?



Hej!

Tror inte man behöver vara så orolig över inloggningsförsök.
Bara men inte har så många konton som det går att logga in på
och har bra lösenord och spärrat root login via SSH.
Sedan bör man inte använda samma passord för inloggning som
man använder för t ex e-mail eller FTP.

För mig loggar SSHD alla inloggningsförsök med IP-nummer.
T ex kommandot kan plocka fram info om detta:
grep -E "proftp|ssh|courier|mysql" /var/log/auth.log /var/log/daemon.log |
less

Exempel på misslyckat inloggnings försök på min server från
okänd person:
/var/log/auth.log:Feb 27 07:27:29 Pyramid sshd[24790]: Failed password for
root from 210.207.210.76 port 60417 ssh2

Ovanstående inloggningsförsök är "helt ofarligt" eftersom jag spärrat
inloggning för root.

limit-burst är nog normalt tänkt att användas när olika händelser
ska loggas från iptables. Tror inte det är tänkt att användas på det sätt
jag gör. För att logga händelser byts "-j ACCEPT" ut mot "-j LOG" med
tillhörande attribut. Syftet med limit-burst är då att begränsa mängden
data som skrivs in i loggfilerna.

Jag använder limit-burst för att göra det jobbigt att ligga och tugga
på med inloggningsförsök, eftersom min server inte svarar efter 5 försök.

"-SYN" eller synkförsök refererar till synkmeddelandet för TCP. Alltså
första meddelandet när någon/något vill upprätta en TCP-koppling.

Iptables kan inte avgöra om det är ett inloggningsförsök.
Iptables vet bara att något försöker upprätta en TCP-koppling
på en viss port. Det är bara sshd som kan avgöra om det är ett
inloggningsförsök.

/Urban


timebandit skrev:
>
> Hallåjsan!
>
>
> Finns mycket mer i loggarna som jag inte orkar dra ut men är osäker i
> vilket fall :) Så jag har gått igenom alla loggarna å blacklistar alla
> ip's ifall =)
> Nu är inte jag heller direkt kung på detta eller nått annat för den
> delen men det som du nämnde om iptalges med limit burst... Vad menar med
> synk försök? Finns det möjligen nått sätt med iptables eller dyligt att
> om man gör fler än tex 4 misslyckade inloggingar så sparat ip't till en
> log eller dyligt?
>
>
> Tack för alla svaren som ramlar in....
>
>



Reply to: