LM17 jako SSH server – 6. část

termV minulém díle jsme si ukázali, jak si nastavit automatické logování po startu počítače. A dále jak pomocí programu Wireshark procházet logy. Na závěr bylo doporučení si přes firewall gufw zakázat aktivní IP adresy na našem SSH portu 22. Ono je ale těch nežádoucích IP zhruba kolem 11 000, což by pro ruční zadávání byla opravdu práce pro vraha 🙂 . V dnešním článku si ukážeme jak si do našeho Gufw přidat oněch zhruba 11 tis. nežádoucích IP.

Jako zdrojovou stránku jsem zvolil http://antivirus.neu.edu.cn/ssh/lists/neu_sshbl_hosts.deny, kde se nachází black list nejznámějších IP. Pro aktualizaci Gufw jsem vytvořil skript na této adrese. Za x.x.x.x v adrese odkazu je třeba si dosadit IP vašeho počítače (SSH serveru). Moje IP je 10.0.0.32 obsah stránky tedy bude vypadat takto:

SSH01

Konfigurace Gufw je uložena ve dvou souborech /lib/ufw/user.rules pro IPv4 a /lib/ufw/user6.rules pro IPv6. V našem případě se jedná o IPv4 takže si otevřeme pouze soubor user.rules příkazem:

Příkaz terminálu:
sudo gedit /lib/ufw/user.rules

A následně si do souboru nakopírujeme již dříve vygenerovaný obsah. Text musíme nakopírovat mezi položky ### RULES ### a ### END RULES ###. Pokud se tam již nějaký záznam nachází (mělo by tam být alespoň povolení portu 22, tzn. položka: -A ufw-user-input -p tcp -d X.X.X.X –dport 22 -j ACCEPT), nakopíruje text až za tento záznam, takže nejjednodušeji o řádek výš než se nachází  ### END RULES ### 🙂 .Pak soubor uložíme a provedeme restart UFW:

Příkaz terminálu:
sudo service ufw restart

Zda se nám záznamy přidaly, můžeme zkontrolovat příkazem:

Příkaz terminálu:
sudo ufw status

SSH02

Určitou nevýhodou je množství záznamů, které se bude načítat při každém spuštění Gufw. Řešením je editace přes soubor user.rules. Po přidání uvedeného black listu do UFW se mi velikost denního logu snížila na 0,3-3 MB 🙂

Související články:
LM17 jako SSH server – 1. část
LM17 jako SSH server – 2. část
LM17 jako SSH server – 3. část
LM17 jako SSH server – 4. část
LM17 jako SSH server – 5. část
LM17 jako SSH server – 7. část
LM17 jako SSH server – 8. část

Štítky , , , , .Záložka pro permanentní odkaz.

2 reakce na LM17 jako SSH server – 6. část

  1. segfault říká:

    1) Na daném odkazu je obsah souboru /etc/hosts.deny, který lze využít namísto gufw nebo iptables.

    2) Na ochranu před útočníky obecně lze použít fail2ban, který dynamicky banuje IP adresy při detekci přihlašování se pod neexistujícími účty nebo se špatným heslem. F2B jde nakonfigurovat i na jiné služby, než je ssh.

    • Allconius říká:

      1) taky možnost využít rovnou /etc/hosts.deny, zkusím testnout

      2) nevím jestli by to fail2ban banovalo i v případě přihlášení přes certifikát, protože bez něj by tě to k zadávání hesla ani pustit nemělo

      díky za koment 🙂 ty to fail2ban používáš?