+ Responder ao Tópico



  1. #1

    Padrão pfsense - bloquear ssh durante alguns minutos, apos 5 vezes login errado

    Oi,

    Estou usando o pfsense como minha firewall e desde hà alguns dias têm tentado entrar nela com brute forcing, mas felizmente sem sucesso. o log gerado foi o seguinte:
    ..........
    Aug 16 09:41:14 sshd[36196]: Failed password for root from 207.168.54.150 port 36444 ssh2
    Aug 16 09:41:12 sshd[36188]: Failed password for root from 207.168.54.150 port 36358 ssh2
    Aug 16 09:41:10 sshd[36176]: Failed password for root from 207.168.54.150 port 36273 ssh2
    Aug 16 09:41:08 sshd[36167]: Failed password for root from 207.168.54.150 port 36194 ssh2
    ..........

    Como eu pretendo continuar a ligar-me por ssh gostaria de saber como posso fazer para que o ssh permita tentar ligar 5 veze depois bloquear acesso por alguns minutos.

  2. #2
    cristina.fsilva
    Visitante

    Padrão

    tiago.

    eu tambem uso o pfsense.. porem não sei se existe essa opção, sei que posso usar chaves de com autenticação..



  3. #3

    Padrão

    Ola Cristina,

    Certamente que dara para fazer com scripting mas como n estou muito À vontade vou talvez fazer o seguinte:

    - Desligo SSH e permito somente acesso por HTTPS
    - Quando de precisar de mexer em ssh, ligo-o atraves do HTTPS

    Julgo que resolve o problema em parte.

    Grato pelo post,
    Tiago Teixeira

  4. #4

    Padrão

    Saudações,
    Dá pra vc colocar uma regra de limit no seu netfilter.
    abraços.



  5. #5
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Apenas mudando a porta padrão várias tentativas sumirão. Além disso libere no firewall apenas os IPs/Redes que podem acessa-lo.

  6. #6

    Padrão

    Eu utilizo essas regras para proteger:

    #Bloquear ataques Brute Force SSH
    /sbin/iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set
    /sbin/iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
    /sbin/iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset

    #Bloquear ataques Brute Force SSH
    /sbin/iptables -A FORWARD -p tcp --syn --dport 22 -m recent --name sshattack --set
    /sbin/iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
    /sbin/iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset

    Ele fica mostrando os logs na tela, é bom pra você acompanhar as tentativas.
    Abraço



  7. #7

    Padrão

    muito obrigado pela resposta tecnica e objectiva.
    Obrigado também aos outros que postaram.