http://www.zago.eti.br/ssh/firewall-controle.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** ******************************************************** ******************************************************** De: Manoel Pinho Para: thiago@tecpont.com.br Cc: Lista Linux-BR Assunto: Re: (linux-br)Script contra brutal force em ssh Data: Thu, 20 Jan 2005 18:45:11 -0200 Thiago Caminha da Silva escreveu: > Povo, > > Alguém algum script que bloqueie os ips com iptables de quem tentar > fazer um ataque brutal force contra um servidor ssh? > http://br-linux.org/main/noticia-bloqueando_automaticamente_ten.html http://br-linux.org/main/noticia-controlando_o_acesso_ao_ssh_vi.html ******************************************************** De: listas@psainfo.com.br Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Script contra brutal force em ssh Data: Thu, 20 Jan 2005 18:25:45 -0400 Da uma olhada... http://www.vivaolinux.com.br/scripts/verScript.php?codigo=849 ******************************************************** De: Bruno Viana Para: Lista Linux-BR Assunto: Re: (linux-br)Script contra brutal force em ssh Data: Thu, 20 Jan 2005 21:59:49 -0300 (ART) --- Thiago Caminha da Silva escreveu: > Povo, > > Alguém algum script que bloqueie os ips com iptables > de quem tentar > fazer um ataque brutal force contra um servidor ssh? De uma olhada nessa url http://www.dicas-l.com.br/dicas-l/20050113.php ===== Ass.: Bruno Ferreira Viana Tel.: 71 91949195 ICQ: 84587365 MSN: brunomagic_ti@hotmail.com ******************************************************** De: Cleber Barros Para: Lista Linux-BR Assunto: Re: (linux-br)Script contra brutal force em ssh Data: Fri, 21 Jan 2005 07:40:53 -0300 (ART) Thiago, acho que vc pode instalar o snort+guardian, que bloqueia qualquer ataque hacker. Veja esses tutoriais, podem lhe ajudar: http://www.aplinux.com.br/mostraartigo.php?artigoid=90&artigocat=8 http://www.underlinux.com.br/modules.php?name=Sections&op=printpage&artid=167 ******************************************************** De: Manoel Pinho Para: Alejandro Flores Cc: Lista Linux-BR Assunto: Re: Possível Spam - Re: (linux-br)Script contra brutal force em ssh Data: Fri, 21 Jan 2005 10:53:13 -0200 Alejandro Flores escreveu: >Calma lá. 'Qualquer ataque hacker' é um pouco demais, ein? :-) >O Guardian bloqueia ataques detectados pelo SNORT, e o SNORT por sua >vez tem uma base de assinaturas para detectar MUITOS ataques, mas um >0day exploit pode passar tranquilamente por sua 'barreira'. >Existem regras no bleedingsnort pra detectar essas tentativas de força >bruta, porém, muito cuidado nessa hora. Se você estiver em casa e >digitar errado a senha quando for logar no SSH, ja viu, só amanhã. >hehe > > Por isso mesmo a técnica que eu achei mais inteligente é essa http://www.soloport.com/iptables.html que usa uma forma simplificada de /port knocking/ para manter o serviço SSH inacessível até que haja uma tentativa de conexão em outras duas portas. Para o cara que usa scripts de ataque por força bruta a porta parecerá fechada e só você saberá a seqüência de portas corretas para abrir a porta do ssh para acesso remoto. ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: thiago@tecpont.com.br Cc: Lista Linux-BR Assunto: Re: (linux-br)Script contra brutal force em ssh Data: Fri, 21 Jan 2005 09:42:28 -0300 Olá, > Alguém algum script que bloqueie os ips com iptables de quem tentar > fazer um ataque brutal force contra um servidor ssh? Muda a porta do teu SSH. Esses ataques de força bruta são automaticos, um servidor invadido inicia mais ataques para outros servidores, e assim vai. Para funcinoar de forma automática, eles vão na porta padrão do serviço. Se você passa a utilizar uma porta diferente da padrão, você ta fora desses ataques. Meus servidores rodam o ssh em uma porta não padrão e nunca mais tive essas tentativas. Outra coisa, não permita root login e utilize a diretiva AllowUser. Esses ataques estão começando a utilizar nomes comuns além do guest e test. E principalmente, é comum em muitos lugares quando se cria um usuário novo, e este usuário novo não está por perto para digitar a senha, colocar a senha igual ao usuario, para que o usuário troque depois. Os ataques por força bruta adoram isso. Outra boa pedida é utilizar certificados ao invés de login. Abraço! Alejandro Flores ******************************************************** ******************************************************** ******************************************************** ******************************************************** ******************************************************** ******************************************************** ********************************************************