Firewall med antihack til linux server med port 21+80+25+3389+443+22+23+110+143

Jeg har lidt travlt nu, men prøv at læse dette, hvor DenyHosts er en option:

http://www.tecmint.com/5-best-practices-to-secure-and-protect-ssh-serve…

http://www.tecmint.com/use-pam_tally2-to-lock-and-unlock-ssh-failed-log…

For en overall søgning:

https://www.google.dk/search?q=how+to+prevent+more+than+tre+logon+attem…

Jeg bruger disse linjer i IPtables:
-A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
-A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Samt Fail2Ban, som laver det permanente ban. Jeg har sat Fail2Ban til at banne i 6t, da jeg har været ude for, at jeg blev lukket ud af min server.
Fail2Ban kan også håndtere andre services og porte. Fx har jeg sat det op til at også at blokere brugere, der forsøger at logge ind på min mailserver.

Et par fif, jeg bruger:
- Ændr porten på de services, du bruger. Fx ændr SSH fra port 22 til fx 40022. Det kunne du også gøre på rdp-porten på 3389
- Hvis du gerne vil banne alle ip-adresser fra Kina og Sydkorea, kan du få en liste her: http://www.okean.com/thegoods.html , som du kan indsætte i IPtables
- Hvis du bruger XRDP på din server, skal du huske at sætte sikkerhedsniveauet op i /etc/xrdp/xrdp.ini

Okay.

Tak skal I have.

Bruger nu Fail2Ban. MaxRetry er sat til 6

DenyHosts findes vist ikke til Ubuntu Server 14.04.1 LTS
I hvert tilfælde ikke som "sudo aptitude update" + "sudo aptitude install DenyHosts"

Denne link forklarer det noget lignende sådan:
http://askubuntu.com/questions/433924/package-denyhosts-in-ubuntu-trust…

Mvh,
Thomas

Velbekommen.

Denyhosts version 2.6-10 til Ubuntu 14.04 er formentlig ikke opdateret i repos, men kan downloades her. Det skal siges, at jeg ikke selv har forsøgt.

https://launchpad.net/ubuntu/trusty/+package/denyhosts

Hvad er anti-hack ?

Hej Igen :)

Jeg har problemet i Fail2Ban at bannede ip-adresser unbanes hurtigere end de 604800 sekunder (1 uge) den er sat til.(set i /var/log/fail2ban.log)
Desuden frem står de bannede ip-adresser ikke i /etc/hosts.deny .

/var/log/fail2ban.log:

"2014-09-13 13:55:53,582 fail2ban.actions: WARNING [ssh] Ban 122.225.109.211
2014-09-13 14:11:45,769 fail2ban.server : INFO Stopping all jails
2014-09-13 14:11:46,364 fail2ban.actions: WARNING [ssh] Unban 122.225.109.217
2014-09-13 14:11:46,368 fail2ban.actions: WARNING [ssh] Unban 122.225.109.211
2014-09-13 14:11:46,375 fail2ban.jail : INFO Jail 'ssh' stopped
2014-09-13 14:11:46,376 fail2ban.server : INFO Exiting Fail2ban
2014-09-13 14:12:01,347 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.11
2014-09-13 14:12:01,347 fail2ban.jail : INFO Creating new jail 'ssh'
2014-09-13 14:12:01,362 fail2ban.jail : INFO Jail 'ssh' uses pyinotify
2014-09-13 14:12:01,375 fail2ban.jail : INFO Initiated 'pyinotify' backend
2014-09-13 14:12:01,376 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2014-09-13 14:12:01,376 fail2ban.filter : INFO Set maxRetry = 6
2014-09-13 14:12:01,377 fail2ban.filter : INFO Set findtime = 7200
2014-09-13 14:12:01,377 fail2ban.actions: INFO Set banTime = 30000000
2014-09-13 14:12:01,400 fail2ban.jail : INFO Jail 'ssh' started
2014-09-13 14:12:18,548 fail2ban.actions: WARNING [ssh] Ban 122.225.109.217
2014-09-13 14:12:18,557 fail2ban.actions: WARNING [ssh] Ban 122.225.109.211
2014-09-13 14:53:02,159 fail2ban.server : INFO Stopping all jails
2014-09-13 14:53:02,192 fail2ban.actions: WARNING [ssh] Unban 122.225.109.217
2014-09-13 14:53:02,196 fail2ban.actions: WARNING [ssh] Unban 122.225.109.211
2014-09-13 14:53:02,204 fail2ban.jail : INFO Jail 'ssh' stopped
2014-09-13 14:53:02,204 fail2ban.server : INFO Exiting Fail2ban
2014-09-13 14:53:17,534 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.11
2014-09-13 14:53:17,535 fail2ban.jail : INFO Creating new jail 'ssh'
2014-09-13 14:53:17,549 fail2ban.jail : INFO Jail 'ssh' uses pyinotify
2014-09-13 14:53:17,563 fail2ban.jail : INFO Initiated 'pyinotify' backend
2014-09-13 14:53:17,564 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2014-09-13 14:53:17,565 fail2ban.filter : INFO Set maxRetry = 6
2014-09-13 14:53:17,565 fail2ban.filter : INFO Set findtime = 7200
2014-09-13 14:53:17,565 fail2ban.actions: INFO Set banTime = 604800
2014-09-13 14:53:17,587 fail2ban.jail : INFO Jail 'ssh' started
2014-09-13 14:53:36,658 fail2ban.actions: WARNING [ssh] Ban 122.225.109.211"


Mvh,
Thomas

fail2ban bruger ikke hosts.deny, men iptables.

Se evt. denne guide. http://linuxbloggen.dk/beskyt-din-server-med-fail2ban/

Hi igen :)

#8:
/var/log/fail2ban.log ser således ud (stadig ingen ip-adresser skrevet i /etc/hosts.deny?) :

2014-09-13 14:53:17,534 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.11
2014-09-13 14:53:17,535 fail2ban.jail : INFO Creating new jail 'ssh'
2014-09-13 14:53:17,549 fail2ban.jail : INFO Jail 'ssh' uses pyinotify
2014-09-13 14:53:17,563 fail2ban.jail : INFO Initiated 'pyinotify' backend
2014-09-13 14:53:17,564 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2014-09-13 14:53:17,565 fail2ban.filter : INFO Set maxRetry = 6
2014-09-13 14:53:17,565 fail2ban.filter : INFO Set findtime = 7200
2014-09-13 14:53:17,565 fail2ban.actions: INFO Set banTime = 604800
2014-09-13 14:53:17,587 fail2ban.jail : INFO Jail 'ssh' started
2014-09-13 14:53:36,658 fail2ban.actions: WARNING [ssh] Ban 122.225.109.211
2014-09-13 15:48:43,584 fail2ban.server : INFO Stopping all jails
2014-09-13 15:48:43,755 fail2ban.actions: WARNING [ssh] Unban 122.225.109.211
2014-09-13 15:48:43,763 fail2ban.jail : INFO Jail 'ssh' stopped
2014-09-13 15:48:43,763 fail2ban.server : INFO Exiting Fail2ban
2014-09-13 15:48:58,864 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.11
2014-09-13 15:48:58,865 fail2ban.jail : INFO Creating new jail 'ssh'
2014-09-13 15:48:58,880 fail2ban.jail : INFO Jail 'ssh' uses pyinotify
2014-09-13 15:48:58,893 fail2ban.jail : INFO Initiated 'pyinotify' backend
2014-09-13 15:48:58,894 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2014-09-13 15:48:58,895 fail2ban.filter : INFO Set maxRetry = 6
2014-09-13 15:48:58,896 fail2ban.filter : INFO Set findtime = 7200
2014-09-13 15:48:58,896 fail2ban.actions: INFO Set banTime = 604800
2014-09-13 15:48:58,918 fail2ban.jail : INFO Jail 'ssh' started
2014-09-13 16:50:56,959 fail2ban.server : INFO Stopping all jails
2014-09-13 16:50:57,304 fail2ban.jail : INFO Jail 'ssh' stopped
2014-09-13 16:50:57,305 fail2ban.server : INFO Exiting Fail2ban
2014-09-13 16:54:21,854 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.11
2014-09-13 16:54:21,855 fail2ban.jail : INFO Creating new jail 'ssh'
2014-09-13 16:54:21,869 fail2ban.jail : INFO Jail 'ssh' uses pyinotify
2014-09-13 16:54:21,882 fail2ban.jail : INFO Initiated 'pyinotify' backend
2014-09-13 16:54:21,884 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2014-09-13 16:54:21,884 fail2ban.filter : INFO Set maxRetry = 6
2014-09-13 16:54:21,885 fail2ban.filter : INFO Set findtime = 7200
2014-09-13 16:54:21,886 fail2ban.actions: INFO Set banTime = 604800
2014-09-13 16:54:21,908 fail2ban.jail : INFO Jail 'ssh' started


Er det ikke forkert at den unban'er de ip-adresser?

Mvh, Thomas

#1: Jeg har lidt travlt nu, men prøv at læse dette, hvor DenyHosts er en option:

Jeg har i flere år brugt denyhosts, og det er et af de første programmer jeg installerer på en server. Det fungerer rigtigt godt og passer sig selv.

På SSH kunne en mulighed være at bruge forbyde login via password, således at kun maskiner som har den offentlige SSH nøgle installeret kan logge ind. Det er selvfølgelig lidt mere besværligt, hvis man logger ind fra mange forskellige maskiner. Men det skulle hvert fald begrænse mulighed for at hacke sig ind.

Jeg takker jer alle for jeres gode besvarelser.
Fail2ban kører nu som det skal :)

Mvh,
Thomas

#12: Fail2ban kører nu som det skal :)

Kan du ikke fortælle, hvordan du fik den til det?

Hej igen.

Jo jeg brugte følgende link:
https://www.digitalocean.com/community/tutorials/how-to-install-and-use…

Mvh,
Thomas :)