Сегодня пришлось лицезреть вот такой пиздец:
# cat /var/log/auth.log | grep fail | wc -l 1879518795 не удачных попыток!
Посему будем поступать грубо:
В этом правиле устанавливаем метку на SSH пакеты
# iptables -t filter -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
Устанавливаем запись в системный лог попыток брутфорса
# iptables -t filter -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 900 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: "
Блокируем брутфорсера. Параметр --seconds устанавливает время в секундах, в течении которых проводится наблюдение за доступом к порту, параметр --hitcount устанавливает число разрешенных попыток.
# iptables -t filter -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 900 --hitcount 3 --rttl --name SSH -j DROP
Полученный эффект: Нельзя в течении пятнадцати минут подключиться на порт SSH более 3х раз. Защита очень простая и эффективная. Проверено.
А каким правилом или группой правил прописать защиту от брутфорса на почтовый сервер?
ОтветитьУдалить