Kamenitza Notepad » ssh

SSH brute force protection

Тодор — Thu, 06 May 2010 17:30:11 +0000

Това е елементарна защита на хост с отворен достъп по SSH. Налага се поради огромния брой сканиращи роботчета и злонамерени персонажи, които опитват да налучкат пароли за достъп.
Логиката на тази защита е – следи се лог файла /var/log/secure и при наличие на повече от 5 грешни опита за влизане през SSH блокира достъпа на IP адреса чрез iptables правило.

Изваждане на списъка с “провинилите” се адреси:

# cat /var/log/secure | grep "]: Failed " | awk -F "from " '{print $2}' | awk '{print $1}' | sort | uniq -d -c | awk '{if ($1 > 5) print $2}' > /ssh-banned.txt
(всичко е на един ред)

Всички адреси, които са правили повече от 5 неуспешни опита да влязат през SSH ще се запишат в /ssh-banned.txt.

Следва да се блокира достъпа на тези адреси.
Добавя се това в началото на firewall скрипта, който ползвате:

#!/bin/bash
SSHBAN=/ssh-banned.txt
if [ -f $SSHBAN ]; then
    for BAN_IP in `cat $SSHBAN`
        do
            iptables -A INPUT -s $BAN_IP -j DROP
        done
fi

Скрипта парсва файла с адресите и добавя блокиращо iptables правило за всеки адрес от него.

За автоматизиране се добавя в cron:

*/10 * * * * cat /var/log/secure | grep "]: Failed " | awk -F "from " '{print $2}' | awk '{print $1}' | sort | uniq -d -c | awk '{if ($1 > 5) print $2}' > /ssh-banned.txt && /etc/rc.d/rc.fw

Приемам че firewall-ът е в /etc/rc.d/rc.fw, необходимо е дой да се стартира винаги след като списъка с баннатите адреси се опредни. Променете го с пътя до вашия.

(Примерът е за Red Hat базирани дистрибуции)

SSH proxy (socks + PuTTY)

Тодор — Fri, 30 Apr 2010 18:19:34 +0000

Наистина могат да се намерят 49582638 причини да ползвате прокси – няма да изброявам нито една.
Бърз, лесен и най-вече сигурен начин е ползването на SSH прокси. Т.е. трафикът ви се прекарва през SSH тунел до “точката за достъп до Интернет” (проксито).

Конфигурира се PuTTY да направи тунел до отстрешната страна:

По желание може да се ползва и компресиране на трафика:

Закачайки се за отсрещния хост с SSH вече имате изграден тунел през локален TCP порт 45678. Не е задължително да ползвате root за да се логнете, всъщност най-добре да е ограничен акаунт с лимитиран шел – вместо bash, променете го на lynx да кажем.

Конфигурация на браузъра да ползва тунела:

Почти всяко мрежово програмче включително skype може да ползва SOCKS проксиране – настройва се елементарно, както виждате

Можете да споделите въпросите си в коментарите.

Пезпаролов SSH за *nix

Тодор — Mon, 09 Jan 2006 12:09:32 +0000

Ползва се за безпаролово влизане в отдалечена машина. За легитимация се използват публичен/частен ключ.
Приемам, че сме на терминала от който ще се закачаме някъде-си.

Генериране на ключовете:
# ssh-keygen -t rsa

Следва въпрос къде да бъдат съхранени, и парола на личния ключ:

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.

(паролата се пропуска)

Публичния и личния ключ са генерирани. Добре ще е да позащитим мястото където се намира личният ни ключ:
# chmod 700 /root/.ssh

Така е четим само за root. Публичният ключ се копира на нов ред във файла ~/.ssh/authorized_keys на машините към които ще се ползва подобна идентификация. Трябва да е в домашната директория на потребителя, с който ще влизаме.

Използване на публични ключове за SSH идентификация

Тодор — Sun, 08 Jan 2006 19:01:18 +0000

Спестява помненето на купища пароли и ускорява работата.
Работим в Windows, ползва се PuTTY. За генерацията на ключовете е необходим PuTTYgen. Работата с това програмче е елементарна. Генерираме си ключа, слагаме му някакво име (Key Comment), като на пример “SSH Acc Key”, просто да си го надпишем. Слагате си и парола на ключа (Key Passphrase). Записвате си личния ключ на сигурно място, а ако не сте го защитили с парола – на още по-сигурно и сте готови. Публичния ключ и да си го запишете и да не си го запишете все тая – винаги можете да го генерирате от личния.
Това беше първа стъпка. Работата е на половина свършена.
Влизате през SSH или друг удобен за вас начин в машина към която искате да се удостоверявате на базата на тези ключове. Създавате файла ~/.ssh/authorized_keys


vi ~/.ssh/authorized_keys

И преписвате или за по-лесно паства-те публичния ключ на първия ред. Ако се наложи на една машина да бъдат вкарани няколко публични ключа всеки трябва да е на нов ред.
Повече работа по отдалечената машина няма.
Пускате PuTTY-то и в Connection>SSH>Auth има как да изберете личния си ключ, който сте записали в най-скрития ъгъл на харда си. След това си пускате сесия към отдалечената машина, пита ви за име – пишете го, след това пита за парола на SSH-ключа, ако сте му поставяли такава – пишете и нея и сте вече логнат успешно (без да въвеждате потребителска парола).