Re: [ml] Brute force attacks su ssh: a script to block them

Paolo Nason wrote:
> Salve,
> da diversi mesi registro nei logfile tentativi di entrare
> nel sistema. A volte i logfile crescono a dismisura.
> Ma quel che piu' preoccupa e' che a furia di provarci
> qualcuno ci azzecchi.
>
> Ovviamente, sarebbe opportuno che sshd implementi qualche
> politica di protezione contro tali attacchi. In mancanza di questo,
> ho preparato uno script che controlla i logfile.
> Se ci sono piu' di un dato numero di "failed login" distanti tra di loro
> meno di un certo intervallo di tempo, il corrispondente IP viene
> bloccato dal firewall (iptables).
>
> Uso da un paio di mesi lo script, e (per me) funziona bene.
> Il mio sistema e' Fedora 3; per altri sistemi il formato
> dei logfile potrebbe essere diverso, il firewall diverso, etc.
>
> Ho messo:
>
> cd /root
> ./ssh_block_p >> ssh_block_p.log.1 &
>
> in /etc/rc.local
>
> Cordiali saluti,
> Paolo Nason
Se usi i certificati questi sistemi di attacco brute force falliscono 
senza patemi.
L'uniac palla sono (appunto) i log, però per il resto rischio zero.
(anche perchè puoi sempre sbagliare te a digitare la password per 2 o 3 
volte :-) )

--
Roberto Tagliaferri
Responsabile Progettazione & Produzione
TosNet s.r.l. - Internet Service Provider
r.tagliaferri@xxxxxxxxx
www.tosnet.it