ssh black list
Michele Bonera
michele a bonera.biz
Gio 25 Maggio 2006 14:07:59 UTC
At 11:31, giovedì 25 maggio 2006, Davide Arrigo wrote:
> Ciao, se non ricordo male puoi usare metalog
> http://metalog.sourceforge.net/ Me lo aveva consigliato Bonera, dev'esserci
> da qualche parte la possibilità di fare un'azione se la tua regexp sul file
> di log verifica alcuni tentativi di accesso non a buon fine. Una action
> potrebbe essere aggiungere una regola di iptables che rigetti tutte le
> connessioni da quell'IP.
> Ho un ricordo fumoso e lontano però, avevo fatto una cosa del genere su un
> server della scuola.
Metalog me l'aveva a suo tempo suggerito il Gelmini, quindi gratta gratta si
arriva sempre al camuno pazzo :D
Questa è l'impostazione che uso per bloccare gli IP in /etc/metalog.conf:
Illegal SSH user:
program = "sshd"
regex = "Illegal user"
command = "/usr/local/sbin/illegal_ssh_user.sh"
logdir = "/var/log/auth"
E questo è lo script:
cat /usr/local/sbin/illegal_ssh_user.sh
#!/bin/sh
RECIPIENT="michele a bonera.biz"
FROM="metalog a bonera.biz"
SUBJECT="Illegal SSH user"
IP=`echo $3 | cut -d: -f 4`
BODY="Illegal SSH user Login\nBlocking ip $IP\n\n"
BODY="${BODY}Date: $1\n"
BODY="${BODY}Program: $2\n"
BODY="${BODY}Message: $3\n"
BODY="${BODY}\n---------------------------------\n"
iptables -A INPUT -s $IP -j DROP
whois $IP > /tmp/whois
( echo -e $BODY ; cat /tmp/whois ) | mail -s "$SUBJECT" -a "From: $FROM" \
$RECIPIENT
In questo caso io blocco chiunque sbagli la password, indipendentemente
dall'IP di provenienza. Io non la sbaglio mai, non perchè sia bravo, ma
perchè utilizzo l'autenticazione con la chiave ;)
Saludos,
--
Michele Bonera
www.bonera.biz
Maggiori informazioni sulla lista
Lug
|