s**h
发帖数: 1889 | 1 发现n多傻X试图hack我的机器。我目前sshd限制只有3个用户名可以ssh访问。
禁止了root的ssh访问。10秒不登录就断连接。最多可以试3次。可是我找不到
怎么限制一天最多允许某个用户名登录失败的次数。我的设想是即使他们猜到
了我的用户名,也不能连续n天不间断猜密码(当然我的username和密码都不是太好猜)。
比如如果要试验1000次才能猜出我的密码,如果我限制一天最多可以错的次数是3次,
那帮傻X就得用一年多来猜。
用iptable禁止ip好象不大现实,类似于穷举法。有什么好办法让这些SB script
kiddie们尽早死心? |
c***a
发帖数: 655 | 2 change your ssh port to something else..
)。
【在 s**h 的大作中提到】
: 发现n多傻X试图hack我的机器。我目前sshd限制只有3个用户名可以ssh访问。
: 禁止了root的ssh访问。10秒不登录就断连接。最多可以试3次。可是我找不到
: 怎么限制一天最多允许某个用户名登录失败的次数。我的设想是即使他们猜到
: 了我的用户名,也不能连续n天不间断猜密码(当然我的username和密码都不是太好猜)。
: 比如如果要试验1000次才能猜出我的密码,如果我限制一天最多可以错的次数是3次,
: 那帮傻X就得用一年多来猜。
: 用iptable禁止ip好象不大现实,类似于穷举法。有什么好办法让这些SB script
: kiddie们尽早死心?
|
s**h
发帖数: 1889 | 3 这个应该有所帮助。不过如果能和我设想的办法共同使用可能就更加安全了
改端口号有一个缺点就是如果从外面,比如办公室,访问,如果单位网管阻止了
除标准端口以外的所有端口就没戏了。
次,
【在 c***a 的大作中提到】
: change your ssh port to something else..
:
: )。
|
s**h
发帖数: 1889 | 4 找到一个类似的办法。要设置iptables,不过不是限制ip:
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
好猜
3
【在 s**h 的大作中提到】
: 这个应该有所帮助。不过如果能和我设想的办法共同使用可能就更加安全了
: 改端口号有一个缺点就是如果从外面,比如办公室,访问,如果单位网管阻止了
: 除标准端口以外的所有端口就没戏了。
:
: 次,
|
d********g
发帖数: 10550 | 5 disable password authentication
http://library.linode.com/using-linux/security-basics/#lock_down_ssh
)。
【在 s**h 的大作中提到】
: 发现n多傻X试图hack我的机器。我目前sshd限制只有3个用户名可以ssh访问。
: 禁止了root的ssh访问。10秒不登录就断连接。最多可以试3次。可是我找不到
: 怎么限制一天最多允许某个用户名登录失败的次数。我的设想是即使他们猜到
: 了我的用户名,也不能连续n天不间断猜密码(当然我的username和密码都不是太好猜)。
: 比如如果要试验1000次才能猜出我的密码,如果我限制一天最多可以错的次数是3次,
: 那帮傻X就得用一年多来猜。
: 用iptable禁止ip好象不大现实,类似于穷举法。有什么好办法让这些SB script
: kiddie们尽早死心?
|
s**h
发帖数: 1889 | 6 对这个rsa key不太了解。是不是每次我的主机ip地址变了就要重新生成一个key?
如果是这样可能就有点麻烦。因为我的isp没有给我静态ip,每两星期就要改一次。
而且如果我用别人的计算机暂时访问是不是就不行了(因为没有事先生成那个key)?
次,
【在 d********g 的大作中提到】
: disable password authentication
: http://library.linode.com/using-linux/security-basics/#lock_down_ssh
:
: )。
|
z**r
发帖数: 17771 | 7 这个也是限制ip,不过是动态的限制source,很对你的要求
【在 s**h 的大作中提到】
: 找到一个类似的办法。要设置iptables,不过不是限制ip:
: http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
:
: 好猜
: 3
|
l*******e
发帖数: 309 | |
s**h
发帖数: 1889 | 9 这个我找的那篇文章提过,缺点是有延时。
【在 l*******e 的大作中提到】
: fail2ban
|
l*******e
发帖数: 309 | 10
fail2ban doesn't use polling with gamin installed
【在 s**h 的大作中提到】
: 这个我找的那篇文章提过,缺点是有延时。
|
|
|
s**h
发帖数: 1889 | 11 thx. 我没说清楚。我是说不用穷举ip
【在 z**r 的大作中提到】
: 这个也是限制ip,不过是动态的限制source,很对你的要求
|
d*******e
发帖数: 1649 | 12 好奇一下,你怎么知道别人在登录?哪里可以看到log?
我也用了sshd,不知道有没有别人在hack。。
)。
【在 s**h 的大作中提到】
: 发现n多傻X试图hack我的机器。我目前sshd限制只有3个用户名可以ssh访问。
: 禁止了root的ssh访问。10秒不登录就断连接。最多可以试3次。可是我找不到
: 怎么限制一天最多允许某个用户名登录失败的次数。我的设想是即使他们猜到
: 了我的用户名,也不能连续n天不间断猜密码(当然我的username和密码都不是太好猜)。
: 比如如果要试验1000次才能猜出我的密码,如果我限制一天最多可以错的次数是3次,
: 那帮傻X就得用一年多来猜。
: 用iptable禁止ip好象不大现实,类似于穷举法。有什么好办法让这些SB script
: kiddie们尽早死心?
|
z**r
发帖数: 17771 | 13 什么事穷举?要封当然封IP了,难道你还封用户名?
【在 s**h 的大作中提到】
: thx. 我没说清楚。我是说不用穷举ip
|
s**h
发帖数: 1889 | 14 我是ubuntu 9.1, 查/var/log/auth.log.
次,
【在 d*******e 的大作中提到】
: 好奇一下,你怎么知道别人在登录?哪里可以看到log?
: 我也用了sshd,不知道有没有别人在hack。。
:
: )。
|
s**h
发帖数: 1889 | 15 嗯,也许我表达能力差:)或者没理解iptables。我以为是要自己准备个
ip列表把要封的ip放进去。我一直没开防火墙,因为是在路由器背后,觉得
相对安全。所以也没怎么研究这个iptables.
【在 z**r 的大作中提到】
: 什么事穷举?要封当然封IP了,难道你还封用户名?
|
l*******e
发帖数: 309 | 16 I don't think you actually read the article you cited. It uses iptables to
limit the rate new connections can be made. It has nothing to do with 穷举.
fail2ban use iptables to add malicious IP to its blacklist. What do you
mean by 缺点是有延时? Have you tried it?
A strong password should suit you well too. And I don't think using public
key and changing default listening port will inconvenience you in most if
not all situations. |
s**h
发帖数: 1889 | 17
to
举.
我粗读过,而且我前面说过我对iptables ip blocking理解有限/误. 你楼上:
http://mitbbs.com/article1/Linux/31244201_3_0.html
没试过。我可能没理解对这句话:
...because fail2ban parses log files to detect brute force attacks at a
certain interval ...
我认为parse日志需要其积累一定数据量,而积累一定数据量达到fail2ban的阀值可能
需要时间。这只是我的猜测。可能不对。
public
我原来的单位只允许有限几个端口。如果不巧我设的端口被禁,允许的端口有固定
的程序使用,基本改端口号不可行。我也说过我不太了结公匙那个方法以及根据我
有限理解认为公匙方法可能会造成的潜在的不便。
http://mitbbs.com/article1/Linux/31244175_3_0.html
我从来没有否认任何一种方法的有效性。
【在 l*******e 的大作中提到】
: I don't think you actually read the article you cited. It uses iptables to
: limit the rate new connections can be made. It has nothing to do with 穷举.
: fail2ban use iptables to add malicious IP to its blacklist. What do you
: mean by 缺点是有延时? Have you tried it?
: A strong password should suit you well too. And I don't think using public
: key and changing default listening port will inconvenience you in most if
: not all situations.
|
c****a
发帖数: 24 | 18 Why not use hosts.allow/hosts.deny combination?
)。
【在 s**h 的大作中提到】
: 发现n多傻X试图hack我的机器。我目前sshd限制只有3个用户名可以ssh访问。
: 禁止了root的ssh访问。10秒不登录就断连接。最多可以试3次。可是我找不到
: 怎么限制一天最多允许某个用户名登录失败的次数。我的设想是即使他们猜到
: 了我的用户名,也不能连续n天不间断猜密码(当然我的username和密码都不是太好猜)。
: 比如如果要试验1000次才能猜出我的密码,如果我限制一天最多可以错的次数是3次,
: 那帮傻X就得用一年多来猜。
: 用iptable禁止ip好象不大现实,类似于穷举法。有什么好办法让这些SB script
: kiddie们尽早死心?
|
s**h
发帖数: 1889 | 19 这个我设置sshd的时候考虑过,当然是一个可行的方案。不过最后没搞是因为
考虑到以后也许出门去别的地区玩要临时访问的话不幸被禁止了就抓瞎了。而
且我不想穷举(我对这个方法也了解不多,所以可能我说穷举是不对的)。我
承认我可能考虑过多(paranoid?)。不过我还是认为我设想的方案自由度最大
而且可以基本实时反应。当然也有缺点,就是万一不幸哪天我不小心连续输错
几次密码就会被lock out。但是我觉得这是我可以自己控制的。
次,
【在 c****a 的大作中提到】
: Why not use hosts.allow/hosts.deny combination?
:
: )。
|
z**r
发帖数: 17771 | 20 iptables那个方法是最适合你的
【在 s**h 的大作中提到】
: 这个我设置sshd的时候考虑过,当然是一个可行的方案。不过最后没搞是因为
: 考虑到以后也许出门去别的地区玩要临时访问的话不幸被禁止了就抓瞎了。而
: 且我不想穷举(我对这个方法也了解不多,所以可能我说穷举是不对的)。我
: 承认我可能考虑过多(paranoid?)。不过我还是认为我设想的方案自由度最大
: 而且可以基本实时反应。当然也有缺点,就是万一不幸哪天我不小心连续输错
: 几次密码就会被lock out。但是我觉得这是我可以自己控制的。
:
: 次,
|
|
|
s**h
发帖数: 1889 | 21 谢谢,看了你前面的回帖.我也这么认为。
我还不停回贴主要是讨论看我粗浅理解的各种方法的利弊是否有误。
刚开始弄这个东西没多久。很多不懂的地方。
【在 z**r 的大作中提到】
: iptables那个方法是最适合你的
|
z**r
发帖数: 17771 | 22 把你那个帖子里的“不过不是限制ip:”这句话去掉,俺给你mark一把,呵呵
【在 s**h 的大作中提到】
: 谢谢,看了你前面的回帖.我也这么认为。
: 我还不停回贴主要是讨论看我粗浅理解的各种方法的利弊是否有误。
: 刚开始弄这个东西没多久。很多不懂的地方。
|
x****s
发帖数: 921 | 23 re this, this is already there and worked like a charm
【在 l*******e 的大作中提到】
: fail2ban
|
s**h
发帖数: 1889 | 24 ok, 删了。多谢,我在本版第一个被"骂"贴 :)
我照那个已经搞好了,非常方便。现在可以睡安稳觉了。
【在 z**r 的大作中提到】
: 把你那个帖子里的“不过不是限制ip:”这句话去掉,俺给你mark一把,呵呵
|
d****e
发帖数: 251 | 25 I use fail2ban, very convenient. The installation comes with
many configurations for different services. By default, it has enabled
sshd. I use it for both sshd and apache.
No time delay actually because it's monitoring those log files (at least
very close to real time).
【在 s**h 的大作中提到】
: ok, 删了。多谢,我在本版第一个被"骂"贴 :)
: 我照那个已经搞好了,非常方便。现在可以睡安稳觉了。
|
