Защита SSH от брутфорса (Bruteforce) на Ubuntu

Denyhosts — весьма полезная утилита для пресечения попыток подобрать пароль к ssh. Работает следующим образом: он проверяет логи и добавляет в deny лист ip адреса, с которых наблюдается много попыток неудачного входа.

Сайт: http://denyhosts.sourceforge.net/
Установка:

sudo apt-get install denyhosts
sudo mv /etc/denyhosts.conf /etc/denyhosts.conf.default
sudo touch /etc/hosts.denyssh
sudo vi /etc/hosts.allow

Содержимое файла hosts.allow:

# разрешаем локальной сети и vpn каналу
sshd : 192.168.17.0/255.255.255.0 : allow
sshd : 192.168.222.0/255.255.255.0 : allow
# запретим доступ списку из файла
sshd : /etc/hosts.denyssh : deny
# остальным разрешим
sshd : ALL : allow

Редактируем конфиг denyhosts.conf:

sudo vi /etc/denyhosts.conf

Содержимое конфига:

SECURE_LOG = /var/log/auth.log
HOSTS_DENY = /etc/hosts.denyssh
PURGE_DENY =2y
PURGE_THRESHOLD = 0
BLOCK_SERVICE = sshd
DENY_THRESHOLD_INVALID = 5
DENY_THRESHOLD_VALID = 10
DENY_THRESHOLD_ROOT = 1
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/run/denyhosts.pid
ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
#SMTP_USERNAME=foo
#SMTP_PASSWORD=bar
SMTP_FROM = DenyHosts
SMTP_SUBJECT = DenyHosts Report
#SMTP_DATE_FORMAT = %a, %d %b %Y %H:%M:%S %z
#SYSLOG_REPORT=YES
#ALLOWED_HOSTS_HOSTNAME_LOOKUP=NO
AGE_RESET_VALID=5d
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
#RESET_ON_SUCCESS = yes
#PLUGIN_DENY=/usr/bin/true
#PLUGIN_PURGE=/usr/bin/true
#USERDEF_FAILED_ENTRY_REGEX=
DAEMON_LOG = /var/log/denyhosts
#DAEMON_LOG_TIME_FORMAT = %b %d %H:%M:%S
#DAEMON_LOG_MESSAGE_FORMAT = %(asctime)s - %(name)-12s: %(levelname)-8s %(message)s
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h
#SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
#SYNC_INTERVAL = 1h
#SYNC_UPLOAD = no
#SYNC_UPLOAD = yes
#SYNC_DOWNLOAD = no
#SYNC_DOWNLOAD = yes
#SYNC_DOWNLOAD_THRESHOLD = 10
#SYNC_DOWNLOAD_THRESHOLD = 3
#SYNC_DOWNLOAD_RESILIENCY = 2d
#SYNC_DOWNLOAD_RESILIENCY = 5h

Запускаем

sudo service denyhosts start

Добавляем в автозагрузку

sudo apt-get install rcconf
sudo rcconf

Tags:

Share

You may also like...

1 Response

  1. Ирина:
    21.05.2013 в 17:20

    Хороший блог.Заценила. Я только новичек.

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Рубрики