linux user group brescia

Alle Monday 28 November 2005 19:20, Luca Coianiz ha scritto:

>  Da un pò di tempo a questa parte ricevo, come penso molti altri, una serie
> di "scan" SSH (tentativi di login)... tentativi, a mio parere, piuttosto
> inutili in quanto (1) non ho account "del cavolo" (Guest, Test, Admin, ecc.
> :D) e (2) la sicurezza delle password degli account esistenti è stata
[....]
>  La domanda, quindi: qualcuno (1) pensa che il problema possa essere serio
> o (2) ha pensato/fatto qualcosa in merito?

Io uso metalog, che mi permette di eseguire delle azioni qualora una delle 
entry nel log corrisponda alla stringa impostata.

Esempio: blocco tutti i tentativi di login ssh con pwd sbagliata.

Estratto da /etc/metalog.conf
------------------------------
Illegal SSH user:
  program  = "sshd"
  regex    = "Illegal user"
  command  = "/usr/local/sbin/illegal_ssh_user.sh"
  logdir   = "/var/log/auth"


/usr/local/sbin/illegal_ssh_user.sh
-----------------------------------
#!/bin/sh

RECIPIENT="michele a bonera.biz"
FROM="metalog a bonera.biz"
SUBJECT="Illegal SSH user"
IP=`echo $3 | cut -d: -f 4`
BODY="Illegal SSH user Login\nBlocking ip $IP\n\n"
BODY="${BODY}Date: $1\n"
BODY="${BODY}Program: $2\n"
BODY="${BODY}Message: $3\n"
BODY="${BODY}\n---------------------------------\n"


iptables -A INPUT -s $IP -j DROP
whois $IP > /tmp/whois

( echo -e $BODY ; cat /tmp/whois ) | mail -s "$SUBJECT" -a "From: $FROM" 
$RECIPIENT


Così, ogni volta che qualcuno tenta di loggarsi e sbaglia la password, il 
metalog lo rileva e lancia il comando relativo che blocca l'ip mediante il 
firewall, recupera informazioni sul network di provenienza tramite whois e mi 
spedisce una mail per avvisarmi.

Byez
-- 
Michele Bonera
michele a bonera.biz