作者 主題: 及時封鎖想要用 "暴力法" 入侵伺服器的使用者(SSH)  (閱讀 44063 次)

0 會員 與 1 訪客 正在閱讀本文。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
這裡, 大家都在 ssh 全開的時候想辦法擋掉不想要的 IP.
為何不換個想法:
將 ssh 的連線擋掉, 只開給特定的 IP 呢?

我之前寫過一份 tips, 也可以給大家參考:
http://www.study-area.org/tips/ssh_tips.htm

tiebob

  • 憂鬱的高中生
  • ***
  • 文章數: 108
    • 檢視個人資料
看了大家的秘技,收穫良多,回去再看看自己管理的機器,覺得還有很多改進空間,一直以來都是把所有的機器用tcp_wrapper 擋住外部 ip,開放內部 ip 來登入,然後開放一台機器供 外部連線,再連到其它機器,不過最近每次看到 log 檔,就覺得煩啊!

有學長分享利用 pam的方式,不過,小弟管理的機器大都是 freebsd ,發現 pam_listfile.so 找不到,上google好像都是講 linux相關的文章比較多(有學長知道的話,也可以告知小弟一下)。


於是,就進入 /usr/ports/security,找了 *ssh* 的 port,嘿!發現有好幾個項目,看到其中一個是 sshblock,感覺可能是我要的功能,就上 google 查了一下,還真的是我想要的套件!


照著網友(參考了二、三個,就不一個一個列出了)的說明,兩三下就裝好了,還蠻容易的,可以試試啊!

# cd /usr/ports/security/sshblock
# make
# make install
# vi /etc/rc.conf
#(加入下列指令)
# SSH Block
sshblock_enable="YES"
sshblock_flags="-t /usr/local/etc/sshblock.tragger"
# vi /usr/local/etc/sshblock.tragger

#(加入下列指令, 表示60秒內有3次嘗試登入)
60:3
# /usr/local/etc/rc.d/sshblock start

ps: 忘了提一下,不知是我的 freebsd 版本比較舊(freebsd 6.1),還是 ports 有問題,在安裝 sshblock 時,一直出現無法下載 sshblock檔案的訊息(檔案大小不符)。
fetch: ftp://freebsd.nsysu.edu.tw/pub/FreeBSD/distfiles/sshblock-1.0.pl: size of remote file is not known
所以我就直接用 ftp 連線到任一大學(我選義守 ftp.isu.edu.tw)的 ftp 站,到 freebsd 的 distfiles 下載 sshblock-1.0.pl,把它複製到 /usr/ports/distfiles,然後再重新 make 一次就沒問題了。

ps2: 可以開兩個視窗,一個用 tail -f /etc/hosts.allow,另一個直接到登入視窗,故意打錯二次密碼,出現第三次 login 提示時,果然在 hosts.allow 就出現該 ip 被 deny了。

ps3: 把 freebsd相關的內容放這邊,會不會被打啊!