There is an english version available.
Beklager, prosjektet med logg-overvåing i CL er lagt på is, installer fail2ban og bli ferdig med det
:-/
Nedenstående ip-numre er svartelistet her. Ethvert connect forsøk fra nevnte ip nummer avvises av brannmuren. For tiden er det bare vertsmaskiner som forsøker ssh ordboksangrep jeg svartelister. Blokkeringen utføres av en lisp-prosess som får sshd sine logg-linjer om mislykkede pålogginger via en fifo. Se mkfifo(1) og syslog(8) eller syslog-ng(8). Sjekk "facility" AUTH. Lisp-prosessen holder oversikt over antall mistenkelige treff og kjører en iptables kommando når et visst antall nås. Etter blokkering følger prosessen med på brannmur-loggene og noterer protokoll/port og tidspunkt for siste forsøk.
Siste: I forbindelse med en oppgradering har jeg rensket litt opp i koden, og lagt inn en markering av ssh "speidere", dvs klienter som bare sjekker om jeg har port 22 åpen, uten å forsøke å logge på.
Jeg noterer også ugyldige brukernavn. Kan være uskyldige tastefeil, men når samme navn kommer fra flere steder samtidig, viser det at vi har med et distribuert ordboksangrep å gjøre. Hver kilde forsøker en gang, og unngår dermed å bli sperret. Skal man bekjempe distribuerte angrep, må man ha et distribuert forsvar. Ta kontakt hvis du vil ha mine data.
Det virker som ssh-tufsene ikke driver med andre typer kokelimonke (se firewall-hits kolonnen og dshield linken), så hele denne øvelsen kan synes meningsløs. Det kunne jeg imidlertid ikke vite uten å forsøke. Når det først er gjort kan jeg like godt la den fortsette å gå.
OBS! Hvis du vil ha en epost når nye adresser legges til på lista eller har forslag, kan du sende en epost til hakon<hos>alstadheim.priv.no.