Af syncroniq | 20.06.2010 12:57

Kun adgang fra dk

Forums

Brødtekst

Hey,

Ud fra følgende kommando, kan jeg se folk fra hele verden forsøger at komme ind på min maskine via SSH.

sudo cat /var/log/auth.log|grep "Failed password"|less

Jeg får blandt andet :

Jun 20 11:27:59 ubuntu sshd[13120]: Failed password for invalid user alexandre from 91.74.160.222 port 52931 ssh2
Jun 20 11:28:06 ubuntu sshd[13122]: Failed password for invalid user joseluis from 91.74.160.222 port 53255 ssh2
Jun 20 11:28:09 ubuntu sshd[13124]: Failed password for invalid user ppazmino from 91.74.160.222 port 53747 ssh2
Jun 20 11:28:14 ubuntu sshd[13126]: Failed password for invalid user utilidades from 91.74.160.222 port 54029 ssh2
Jun 20 11:28:18 ubuntu sshd[13128]: Failed password for invalid user utilidad from 91.74.160.222 port 54326 ssh2
Jun 20 11:28:24 ubuntu sshd[13130]: Failed password for invalid user amstelecom from 91.74.160.222 port 54656 ssh2
Jun 20 11:28:28 ubuntu sshd[13132]: Failed password for invalid user dedlogistica from 91.74.160.222 port 35335 ssh2
Jun 20 11:28:31 ubuntu sshd[13134]: Failed password for invalid user dsantiago from 91.74.160.222 port 35635 ssh2
Jun 20 11:28:34 ubuntu sshd[13136]: Failed password for invalid user marcia from 91.74.160.222 port 35921 ssh2
Jun 20 11:28:41 ubuntu sshd[13138]: Failed password for invalid user consultoria from 91.74.160.222 port 36115 ssh2
Jun 20 11:28:45 ubuntu sshd[13140]: Failed password for invalid user primaveras from 91.74.160.222 port 36543 ssh2
Jun 20 11:28:52 ubuntu sshd[13142]: Failed password for invalid user salvatore from 91.74.160.222 port 36995 ssh2
Jun 20 11:43:09 ubuntu sshd[13315]: Failed password for invalid user raimundo from 91.74.160.222 port 56656 ssh2
Jun 20 11:43:17 ubuntu sshd[13317]: Failed password for invalid user joan from 91.74.160.222 port 57208 ssh2
Jun 20 11:43:20 ubuntu sshd[13319]: Failed password for invalid user johan from 91.74.160.222 port 57876 ssh2
Jun 20 11:43:24 ubuntu sshd[13321]: Failed password for invalid user sebastian from 91.74.160.222 port 58185 ssh2
Jun 20 11:43:27 ubuntu sshd[13323]: Failed password for invalid user agata from 91.74.160.222 port 44524 ssh2
Jun 20 11:43:34 ubuntu sshd[13325]: Failed password for invalid user administrator from 91.74.160.222 port 44889 ssh2

Jeg vil gerne gøre sådan at kun folk med ip adresser fra DK kan få lov at logge på med SSH. Så jeg søgte på google og fandt denne side :

http://borderworlds.dk/notes/countries-pf.html

perlscriptet kører fint og laver to filer til mig, og så står jeg af.
Jeg er ikke interesseret i at pille i firewall, kan jeg ikke bare benytte noget allow.etellerandet for sshd? Jeg har nemlig en http server der gerne skulle være åben for alle, samt jeg gerne vil hold det lidt simpelt.

Skal siges at jeg kører Ubuntu 8.04 så vidt jeg husker som ren server (ingen gui)

Log ind eller opret dig for at tilføje kommentarer

Kommentarer13

Re: Kun adgang fra dk

Den simpleste løsning er at køre din ssh på en anden port

En anden måde er at bruge ssh nøgler

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

Du kan installere denyhosts, så bliver dem der har forsøgt nægtet adgang via /etc/hosts.deny

jeg har sat min til 3 forsøg så er det bal forbi, indtil nu har den blokeret 251 ipadresser siden 21/3-2010

selve denyhosts filen er rimelig overskuelig og lige til, det kræver heller ikke det helt store hukommelses forbrug.

Log ind eller opret dig for at tilføje kommentarer

Hey,
Min hosts.deny er tom,

Hey,

Min hosts.deny er tom, hvilke format skal det stå i? Kan den inkludere en anden fils indhold ?

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

Du kan i din /etc/hosts.allow indsætte en linie der hedder:

sshd: ALL EXCEPT /stitilfil/hosts.evil

hvor /stitilfil/ = der hvor du lægger filen den skal læse fra hvis du blokere noget manuelt og så lige hosts.evil er den fil du indsætter dem du vil blokere i, indholdet af den fil skal se ud som her:

ALL: xxx.xxx.xxx.xxx

hvor xxx = den ipadresse du vil blokere, man kan så også gøre det at man kun tager de første 6 cifre med, hvilket så betyder at alle dem der starter med den tal række ikke vil kunne komme i kontakt med din ssh daemon, men det betydder så også på den anden side at hvis der er nogen fra dk der benytter en blokeret ip så vil de være blokeret selv om de er i dk, så det nemmere at lade hostsdeny programmet blokere for dem der prøver.

Indholdet af din deny fil skulle så være sådan her ALL: 66.67.*.* alle dem der har 66.67 i sin ip til at starte med vil være udelukket, hvilket er synd hvis der sidder en fra dk i det land ;-)

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

Hvis filen indeholder de ip adresser jeg vil lade igennem, kan jeg så tilføje linien i hosts.deny istedet ?

Fik rettet mit script til, så der nu i filen står f.eks. :

ALL: 62.182.168.0/21
ALL: 62.182.248.0/21
ALL: 62.184.64.0/22
ALL: 62.184.70.0/23
ALL: 62.185.198.0/23
ALL: 62.185.220.0/22
ALL: 62.185.229.0/24
ALL: 62.185.231.0/24
ALL: 62.186.220.0/24
ALL: 62.186.221.0/27
ALL: 62.186.221.32/28
ALL: 62.186.221.48/29

osv...

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

Du skal ikke have port nummeret med for det er ingen adgang for hele ipadressen og alle porte :-)

/etc/hosts.deny dem der skal blokeres
/etc/hosts.allow dem du vil give adgang til

Du kan bruge i /etc/hosts.deny:

ALL: ALL

så er det kun dem du angiver i /etc/hosts.allow der kan forbinde.

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

Jeg elsker at læse med i dette forum fordi jeg hele tiden bliver klogere. Har ikke haft problemer med indlogningsforsøg, men det er rart at vide at der er denne mulighed, hvis det skulle være. Så tråden er nu bogmærket!

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

#7 det kræver jo den pågældende service kører, og kan kontrolleres via hosts.allow & hosts.deny eller via en firewall regl, apache reagere ikke direkte på de to filer her kan man bruge .htaccess til at blokere med.

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

Ja, jeg har stor erfaring med Apache og kender godt mulighederne her. Var blot ikke klar over at man styrede SSH-adgang på tilsvarende måde.

Log ind eller opret dig for at tilføje kommentarer

Hey,
Det virkede :)
Det er

Hey,

Det virkede :)

Det er ikke portnumre jeg har angivet med /24 efter ip. Det er domainet. Altså alt under de 24 bits af adressen, bliver der lukket op for.

Jeg havde et fejl login forsøg hver 4-5 sekund. Nu har jeg ingen. Dejlig med ro.

Jeg har kun lukket for sshd. Jeg vil klart anbefale folk at kigge i deres auth fil efter failed login.

Men min maskine er blevet langsommere at logge ind på nu. Det tager den lige 3-4 sekunder før jeg får lov at logge på. Er det fordi den skal slå min ip op i den fil?

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

Det er jo kun hvis man kører ssh daemonen man skal være opmærksom hvis den står ubeskyttet hen, men du har vel rettet så root ikke kan logge på din ssh?

med ALL: ALL i hosts.deny

og ssh: ip i hosts.allow

så burde det kun være dem der er listet i hosts.allow der kan forbinde, det skulle ikke være nødvendigt at lukke den af helt...

De fleste angreb kommer via inficerede computere, der prøver at logge sig på og opnå root adgang via en åben knækket konto, hvor den så vil køre et script eller lignende for at give adgang til dem der styre resten af det netværk angrebet kom fra.

Ellers kan det være script kids der sidder og keder sig med koder og lignende, det er ikke til at sige med sikkerhed, men en ting er sikkert man kan gøre meget for at holde den slag ude, det er lidt ligsom med dem man ikke må nævne, har du først inviteret 1 ind, så kommer resten stormende ;-)

Log ind eller opret dig for at tilføje kommentarer

Hey,
Det virker rigtig godt.

Hey,

Det virker rigtig godt. Men nej, jeg har ikke blokeret for root. Men har et spørgsmål.

Min server har kun strøm og netværkstik. Jeg skal jo lave ting som root engang imellem, men hvis jeg blokere root i ssh, kan jeg så stadig sudo ?

Log ind eller opret dig for at tilføje kommentarer

Re: Kun adgang fra dk

Du skal bruge en normal konto til at logge på med, før du bruger din root konto, det andet er alt for risikabelt.

Dernæst skal du så vælge hvem der skal have adgang til at bruge sudo som normal bruger, så skulle det være det, alle der har shell adgang kan bruge sudo.

Hvis der er nogle brugere, du ikke vil give ssh adgang til din shell, kan du blokere dem i din /etc/passwd

Ud for brugeren, er der som det sidste i linien, en henvisning til hvad shell brugeren kan bruge typpisk /bin/bash , den rettes bare fra bash til false, så kan de godt logge på men ikke ind ;-)

Log ind eller opret dig for at tilføje kommentarer

Oprettet og drevet af nørder siden 2004 !

den er sjov	0
llumos Unix-operativsystem,	0
Den er go	0
14. februar = I Love Free Software Day	0
Lokal fil-deling - for de dovne.	0

Reserve kernel og btrfs	2
En snak om Linux-kompatibel software	12
PCLinuxOS	28
"Intet realistisk alternativ" - mig i r*ven	17
Open source events i danmark?	3
Virtuel maskine?	4
Gode anmeldelser Zorin OS 17.3	8
Open Source-eksperimentet	5
Nulstilling af adgangskode	6
Ingen Mint	5
Linux App Store Flathub når 3 milliarder downloads	2
Digitaliseringsministeriet sætter gang i pilotprojekt om digital suverænitet	3
Mest sikker webbrowser	5
Firefox	2
Privatbeskeder	7
Backup/synkronisering?	3
BigLinux	5
Chatgpt satire	1
Læsning af databasefil i Firefox	2
Vanilla OS	15

Snak med

Opret dig!

Kun adgang fra dk

Kommentarer13

Re: Kun adgang fra dk

Re: Kun adgang fra dk

Hey,
Min hosts.deny er tom,

Re: Kun adgang fra dk

Re: Kun adgang fra dk

Re: Kun adgang fra dk

Re: Kun adgang fra dk

Re: Kun adgang fra dk

Re: Kun adgang fra dk

Hey,
Det virkede :)
Det er

Re: Kun adgang fra dk

Hey,
Det virker rigtig godt.

Re: Kun adgang fra dk

Svar søges

Seneste aktivitet