[TOOL] come proteggersi dai brute forces (SSH, FTP, HTTP/s)

skakz · Last edited by skakz on Mon Jun 26, 2006 8:10 am; edited 1 time in total

l'idea, cosi' come lo stesso tool sono da attribuirsi a BlinkEye
Personalmente ho solo modificato leggermente il tool in modo da supportare anche il protocollo http/s
e una lista di ip da non bannare..
guardate il suo post e il wiki per avere un'idea di quello che permette di fare questo tool.

in sintesi questo programma gira in background e analizza periodicamente un file di log, attraverso dei pattern prestabiliti riconosce i tentavi di login falliti e, se questi superano una soglia massima, l'ip viene bannato temporaneamente.
per ulteriori informazioni leggetevi i link sopra.

l'unica cosa da fare Ã¨ convogliare tutti i log che si vogliono analizzare in un unico file ma questo lo si puÃ² fare facilmente con syslog-ng.
personalmente ho inserito un pattern per il protocollo http che riguarda l'output di mod_security perchÃ¨ Ã¨ cio che io uso, perÃ² lo si puÃ² cambiare in ciÃ² che si vuole.. (nel wiki ci sono molto esempi anche se non per http)

ecco il codice:

.:chrome:.

personalmente ho usato per diversi mesi denyhosts, che fa lo stesso lavoro per il solo SSH
devo dire che sebbene possa sembrare una buona soluzione, alla lunga da un saccod i problemi, specie su macchine molto esposte, o in reti "di test".
questi tool diventano un'arma che puntualmente si rivolge sempre contro l'amministratore

molto meglio configurare in modo adeguato i servizi. comporta meno problemi, ed è comunque una cosa da fare, invece che lasciare le configurazioni standard come fanno tutti

makoomba · Bodhisattva Joined: 03 Jun 2004 Posts: 1856

lo script può risultare utile in determinate situazioni, quindi meglio averlo.
personalmente, concordo con k.gothmog: le soluzioni "attive" possono essere pericolose e tendono a finire nel .... del sysadmin.
un pò come le policy a drop di iptables: te ne scordi, dai un flush e dopo 3 secondi partono i bestemmioni.
_________________
When all else fails, read the instructions.

skakz · Posted: Sun Jun 25, 2006 8:57 pm Post subject:

l'intento di questo script non è certo quello di risolvere problemi di sicurezza. e come dice appunto k.gothmog meglio "configurare bene i servizi".
io riporto la mia esperienza personale: è uno tool affidabile leggero ed economico in termini di risorse.. non si "ingolfa" con il passare del tempo nè con server molto trafficati.. leggete qui!! personalmente ho un firewall molto complesso con molte regole e anche con l'aggiunta di questo tool devo dire che il sistema non ne risente minimamente. Utilissimo a chi come me deve poter accedere al server dai posti più svariati e vuole avere una soluzione unica che glielo consenta. (senza chiavi knock o altre cose del genere)
vedetela come una "aggiunta".. giusto per levarvi dai piedi quei fastidiosissimi tentativi di intrusione con password ridicole che vi fanno solo kilometri di log da dover controllare...
_________________
Linux Registered User n.340423
Linux User Group Ischia
www.tush.it