Denyhosts a támadók ellen

Minap Pirate barátom kezdett el panaszkodni, hogy sshBruteForce-val elkezdték floodolni az egyik gépét, igaz sikertelenül, de idegesítő tud ám lenni, amikor hatalmas logok keletkeznek az idegesítő próbálkozásokból, és persze minél nagyobb számban és sűrűséggel jelentkeznek a zaklatók, annál jobban foglalja ez a gép különböző forrásait. A problémával kicsiben ámbár én is szembesültem már, de hogy elkerülve a gondot elkezdtem utána nézni a védekezésnek. Megtaláltam a talán legjobb, és legegyszerűbb védekezést, a DenyHosts programocskát.

A program végül is egy phyton script. Viszont okos. Az egész működése abból áll, hogy a megfelelő (nállam debian alatt: /var/log/auth.log) fileból megvizsgálja, hogy honnan milyen neveken történt sikertelen hozzáférés az ssh portján, és amin gyanúsan sok próbálkozás történt (ez a configban állítható kinek milyen a gyanús próbálkozási szám), akkor a rendszer host.deny filejában letiltja az adott ip-t. Így már onnan nem fog több próbálkozás jönni. A script futtatása csak ennyi: $ python denyhosts.py –file=/var/log/auth.log. Persze az ellenörzést illő gyakran megtenni és ennek autómatizálására a crontab a megoldás: 0,20,40 * * * * python PATH_TO_DENYHOSTS/denyhosts.py -c PATH_TO_DENYHOSTS_CONFIG/denyhosts.cfg
Egy ilyen vagy hasónló sort, a /etc/crontab fileunkba elhelyezve máris védetebbek vagyunk. Sajnos ha valaki folyamatosan változó nevekkel, és címekről próbálkozik ez se megoldás. A scripttel akár eltudjuk küldeni emailban az aktuális jelentéseket is. Hasznos, ajánlom a használatát. http://denyhosts.sourceforge.net/

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük