Názory k článku
Jak zvýšit zabezpečení SSH pomocí Fail2Ban a Tinyhoneypot
-
Tomáš2 (neregistrovaný)
protože rate limit mi neumí rozlišovat mezi platným přihlášením a pokusem o přihlášení, fail2ban parsuje logy a umí nastavit logiku podle toho co v nich je.
Tarpit pokud vím potřebuje pár úprav na kernelu, to už je lepší instalovat fail2ban ;).
Nejsem ale zastáncem fail2ban, ač poslouží hezky, vede akorát k přehlcení serveru při DoS a výsledek bývá opačný, server se usmaží parsováním logů pythonem. Lepší přístup je logy cpát co nejdříve po privátní síťovce na kolektor, v něm provádět analýzy a upravovat pravidla na proxy/firewallu, který před serverem sedí...
-
Lukáš TurekStříbrný podporovatelDenyhosts se ještě dá používat? Pokud vím, tak blokovalo IP adresy přes /etc/hosts.deny, což už aktuální OpenSSH nepodporuje.
-
Filip JirsákStříbrný podporovatelDá se používat. Účelem těchhle „bezpečnostních opatření“ není to, aby to skutečně něco dělalo, ale aby měl správce dobrý pocit, že nasadil nějaké komplikované blokovací řešení.
-
FíkZlatý podporovatelaha, vypadá to, že ani na gentoo to už nejméně od 7.1 nejde:
# Make sure people who are using tcp wrappers are notified of its removal. #531156
if grep -qs '^ *sshd *:' "${EROOT}"/etc/hosts.{allow,deny} ; then
ewarn "Sorry, but openssh no longer supports tcp-wrappers, and it seems like"
ewarn "you're trying to use it. Update your ${EROOT}etc/hosts.{allow,deny} please."
fitady je test pro jiné distribuce:
http://denyhosts.sourceforge.net/ssh_config.html -
Lukáš TurekStříbrný podporovatel
Jo, ten test tam přidali ve verzi 6.8, což bohužel znamenalo, že to blokování pár měsíců nefungovalo a uživatel to nijak nepoznal. A například v Debianu od verze Jessie (aktuální stable) Denyhosts vůbec není. Zdá se ale, že vývoj pokračuje dál: https://github.com/denyhosts/denyhosts
-
Lukáš TurekStříbrný podporovatel
Neznáte někdo něco podobného jako fail2ban, co by zvládalo i IPv6? Musí to fungovat chytřeji než na IPv4, protože u IPv6 je snadné získat dost adres, aby mohl být každý pokus z jiné adresy. Například by to mohlo poté, co se na blacklist dostanou tři adresy z jedné /64, zablokovat celou /64.
-
Jak chytre to funguje tedy netusim. A doufam, ze to vyuziva iptables inteligentneji, nez fail2ban, kde prebubrela pravidla dokazi cloveku ucpat stroj. Rovnez se nezda, ze by se konala nejaka synchronizace externi databaze, jako u denyhosts, ktera vetsinu utoka zarazila jiz predtim, nez zacaly, coz byla obrovska vyhoda.
-
Lukáš TurekStříbrný podporovatel
Fail2ban se dá překonfigurovat, aby místo spousty pravidel v chainu používal ipset. Výhoda tcp wrappers (hosts.deny) byla, že to normální síťovou komunikaci serveru vůbec neovlivňovalo, iptables ani nemusely být zapnuté. S tím už ale nic nenaděláme :-(
ČLÁNKY DO MAILU