Mam wykupiony hosting w OVH i chciałbym zabezpieczyć się przed próbami włamania. Jak na razie wyłączyłem wszystkie zbędne usługi. Zostawiłem jedynie ssh sftp - bo te potrzebuję.
Najchętniej ograniczyłbym jednak dostęp za pomocą iptables tylko do aktualnie posiadanego przeze mnie IP.
Mam skonfigurowaną usługę dyndns, ale nie wiem czy da się to wykorzystać.
Czy można w iptables wpisać moją domenę z dyndns tak aby serwer wpuszczał próby logowania tylko z IP skojarzonego z domeną ?
Może macie jakiś inny pomysł ?
Login z dynamicznego IP na serwer z firewallem
-
ethanak
- Wygnańcy
- Posty: 3054
- Rejestracja: 04 gru 2007, 13:19
- Płeć: Mężczyzna
- Wersja Ubuntu: 12.04
- Środowisko graficzne: GNOME
- Architektura: x86
- Lokalizacja: Bielsko-Biała
- Kontakt:
Re: Login z dynamicznego IP na serwer z firewallem
Nie można - nazwa rozwiązywana jest w chwili wydania polecenia iptables, a nie w chwili przyjścia pakietu.
Inny pomysł? Dobre hasło.
Inny pomysł? Dobre hasło.
-
oscarr
- Serdeczny Borsuk
- Posty: 108
- Rejestracja: 18 lip 2010, 12:19
- Płeć: Mężczyzna
- Wersja Ubuntu: 12.10
- Środowisko graficzne: Inne
- Architektura: x86
Re: Login z dynamicznego IP na serwer z firewallem
Hasła stosuję długie i ze znakami specjalnymi - więc raczej dobre.
Skróciłem grace_time do 20 sekund (ze standartowych 2 minut) i zastanawiam się nad 10 sekundami (bo to powinno starczyć na wpisanie hasła).
Ilość prób logowania ograniczyłem z 3 do 2.
Chciałbym jeszcze dowiedzieć się jak długo blokowany jest dany adres po nieprawidłowym podaniu hasła (w 2 próbach) i ewentualnie wydłużyć czas blokady próby loginu z tego IP, ale nie mogę nigdzie znaleźć tych informacji i nie wiem jak zmienić tę blokadę.
Ciekawi mnie również możliwość ustawienia interwału między poszczególnymi próbami logowania - czyli w efekcie chyba chodzi o czas w jakim serwer odpowiada na połączenie ssh.
Wszystkie te zabezpieczenia interesują mnie dlatego, że w ciągu minuty mam minimum 3 próby logowania na serwer z różnych adresów IP i chciałbym się zabezpieczyć przed atakiem typu brute force.
Myślałem też o postawieniu jakiegoś VPNa, ale w tym wypadku albo musiałbym postawić go na wspomnianym serwerze, czyli serwer musiałby i tak mieć otwarty port VPNa, albo musiałbym korzystać z rozwiązania typu HAMACHI w którym dostęp do serwera ograniczony by był działaniem serwera VPN firmy logMEin. Gdyby Hamachi wywaliło to byłbym w ....
Skróciłem grace_time do 20 sekund (ze standartowych 2 minut) i zastanawiam się nad 10 sekundami (bo to powinno starczyć na wpisanie hasła).
Ilość prób logowania ograniczyłem z 3 do 2.
Chciałbym jeszcze dowiedzieć się jak długo blokowany jest dany adres po nieprawidłowym podaniu hasła (w 2 próbach) i ewentualnie wydłużyć czas blokady próby loginu z tego IP, ale nie mogę nigdzie znaleźć tych informacji i nie wiem jak zmienić tę blokadę.
Ciekawi mnie również możliwość ustawienia interwału między poszczególnymi próbami logowania - czyli w efekcie chyba chodzi o czas w jakim serwer odpowiada na połączenie ssh.
Wszystkie te zabezpieczenia interesują mnie dlatego, że w ciągu minuty mam minimum 3 próby logowania na serwer z różnych adresów IP i chciałbym się zabezpieczyć przed atakiem typu brute force.
Myślałem też o postawieniu jakiegoś VPNa, ale w tym wypadku albo musiałbym postawić go na wspomnianym serwerze, czyli serwer musiałby i tak mieć otwarty port VPNa, albo musiałbym korzystać z rozwiązania typu HAMACHI w którym dostęp do serwera ograniczony by był działaniem serwera VPN firmy logMEin. Gdyby Hamachi wywaliło to byłbym w ....
-
rob006
- Wytworny Kaczor
- Posty: 417
- Rejestracja: 28 paź 2007, 23:11
- Płeć: Mężczyzna
- Wersja Ubuntu: 12.04
- Środowisko graficzne: Unity
- Architektura: x86_64
- Lokalizacja: Lublin
- Kontakt:
Re: Login z dynamicznego IP na serwer z firewallem
Może zainteresuj fail2ban.
Zmiana portu ssh na niestandardowy też odsiewa sporą ilość automatów.
Zmiana portu ssh na niestandardowy też odsiewa sporą ilość automatów.
-
Ubek308
- Zakręcona Traszka
- Posty: 574
- Rejestracja: 25 maja 2011, 10:17
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: GNOME
- Architektura: x86_64
Re: Login z dynamicznego IP na serwer z firewallem
Poczytaj o 'port knocking'.
Tego uzywam od kawalka czasu bedac w podobnej sytuacji.
Tego uzywam od kawalka czasu bedac w podobnej sytuacji.
-
luk1don
- Przebojowy Jelonek
- Posty: 1768
- Rejestracja: 07 lis 2008, 16:17
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Inne
- Architektura: x86
Re: Login z dynamicznego IP na serwer z firewallem
Do ssh masz sshguard, skonfiguruj.
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 0 gości