Forum
Bildirimler
Hepsini Temizle
Linux & Unix
4
Yazılar
4
Üyeler
0
Reactions
1,253
Görüntüleme
Konu başlatıcı
Merhabalar, kendime ait bir fiziksel sunucum var(Linux). Günlük ortalama 200-300 Brute-force atack mesajı birikiyor sunucuda. Bir süredir manuel olarak putty den ssh a bağlanıp elle blokluyorum atak yapan ip leri ama bitmiyorlar. Bir ip geliyor 3000-5000 deneme yapıyor, onu engelliyorsun başkası geliyor. Benim sorum şu; bu ssh ta şu kadar sayıdan fazla deneme yapan ip yi blokla diye bir komut yok mudur?
Teşekkürler
Şimdiye kadar nette şöyle bir komut önerisi gördüm:
iptables -N SSH_CHECK
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent –set –name SSH
iptables -A SSH_CHECK -m recent –update –seconds 60 –hitcount 4 –name SSH -j DROP
SSH_CHECK adında yeni bir zincir oluşturuyoruz. Gelen tüm yeni SSH isteklerinin bu zincir üzerinden geçmesini sağlıyoruz. Gelen tüm yeni SSH isteklerinin her ip adresi için 60 saniyelik zaman diliminde en fazla 3 adet olabileceğini belirtiyoruz. 60 saniye içerisinde 3′ten fazla istek gelmesi durumunda gelen tüm istekleri/paketleri dropluyoruz. Engellenen ip adresinden son drop işleminden itibaren 60 saniye içerisinde herhangi bir istek gelmezse bu süre sonunda yeni SSH isteği yapmasına izin veriyoruz.
Gönderildi : 12/01/2016 13:54
ssh için default portu değiştirmek de kısmen yararlı olacaktır
Gönderildi : 12/01/2016 16:33
Selamlar,
Ssh yerine fail2ban kullanabilirsiniz.Fail2ban, sunucunuzun log dosyalarını takip ederek, sizin belirlediginiz bir sayının üzerinde başarısız login girişimininde bulunan birinin IP adresini gene sizin belirlediğiniz bir süre boyunca reject etmeye yarayan güzel bir python uygulamasıdır.
Kolay gelsin.
Gönderildi : 29/01/2016 00:28
SSH portunuza sadece kendi ip adresiniz için erişim verip bunun haricindekileri engellemeniz gerek ssh conf ta böyle bir tanımlama yapılabiliyor.
Gönderildi : 29/01/2016 11:26
