Comments on: Denyhosts

by: propediotika

Mon, 19 Nov 2007 17:43:57 +0000

Just delete /var/run/denyhosts.pid and then run denyhosts again.

by: Apaczus

Fri, 21 Sep 2007 18:22:26 +0000

Mam problem z Errno 17
[code]
wigwam DenyHosts-2.6 # /usr/bin/denyhosts -c /etc/denyhosts.conf
DenyHosts could not obtain lock (pid: 20395)
[Errno 17] File exists: ‘/var/run/denyhosts.pid’
[/code]

może ktoś pomóc??

by: Anonymous

Fri, 20 Jul 2007 16:41:12 +0000

Oops! Wordpress nie akceptuje UTF-8 :|

by: Anonymous

Fri, 20 Jul 2007 16:39:45 +0000

Nie żebym się zbytnio czepiał ale przedstawiona tutaj metoda (użycie logów do wykrycia atakujących) nie jest do końca bezpieczna:

http://www.ossec.net/en/attacking-loganalysis.html

by: mh

Sat, 10 Feb 2007 13:29:00 +0000

U mnie pracuje denyhost, autentykacja za pomoca kluczy i praca na IPv6.

by: xenix

Sat, 10 Feb 2007 11:29:10 +0000

Jeżeli piszecie o komputerach domowych lub małych serwerach ssh/ftp/www, to jest to przerost formy nad treścią. Zacząłem radzić sobie z tym w taki sposób:

12:02:01 root@pinkfloyd:~ cat /etc/hosts.deny
#
# hosts.deny
#
ALL : ALL

12:02:06 root@pinkfloyd:~ cat /etc/hosts.allow
#
# hosts.allow
#
ALL : 192.168.
ALL : 212.33.
ALL : .pl
ALL : .sk
ALL : elpos.net

Jeżeli chodzi o komputer domowy lub serwer z małą liczbą użytkowników, jest to rozwiązanie idealne. .sk zostawiłem sobie jako furtkę (mam na Słowacji 2 serwery), gdybym kiedyś musiał pracować na maszynie z innej puli adresow i chciał się podłączyć do domu.

Na serwerach używam regułek iptables. Po 3 nieudanych próbach zalogowania adres IP jest blokowany na 15 minut (ataki nie trwają z reguły dłuzej niż 5).

by: prim

Tue, 06 Feb 2007 15:24:55 +0000

A jeśli ktoś nie chce dodatkowego demona, to można pobawić się regułkami iptables np.
iptables -A INPUT -p tcp –dport 22 -m recent –rcheck –seconds 60 –hitcount 4 –name SSH -j LOG –log-prefix “S
SH_Attack: ”
iptables -A INPUT -p tcp –dport 22 -m recent –update –seconds 60 –hitcount 4 –name SSH -j DROP
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH -j ACCEPT
W ten sposób blokowane są adresy hostów, które przekroczą liczbę 4 prób połączeń w ciągu jednej sekundy.

by: Bodek

Tue, 06 Feb 2007 10:13:50 +0000

Ja sobie z takimi próbami wejścia poradziłem w inny sposób, nie korzystając z żadnych mniej lub bardziej zaawansowanych rozwiązań. Po prostu zmieniłem port na którym nasłuchuje sshd na bardzo wysoki i egzotyczny. Sposób dobry jak się używa SSH tylko do administracji jakąś maszyną a nie do udostępniania shella.

rozie: Co do Denyhosts to w FAQ napisali, że można zabezpieczyć numer IP przed zablokowaniem.

by: rozie

Tue, 06 Feb 2007 07:37:42 +0000

Ja korzystam z knockd. Domyślnie SSH jest zablokowane, natomiast po otrzymaniu określonej sekwencji pakietów na określonych portach, otwierany jest port SSH dla danego IP. Wydaje mi się lepsze, bo po pierwsze, jest to dodatkowy poziom zabezpieczenia. Po drugie, jeśli ktoś zna IP z którego chcesz się dostać na maszynę z uruchomionym denyhosts, to stosunkowo prosto może Ci to uniemożliwić.