[Volgograd] ssh brootforce blocker

[Taras Ablamsky]

Sergei Kaluzhskiy пишет:
> Hello all,
> 
> Народ, знает ли кто патчи или приблуды к ssh, чтобы например после 3 неудачно 
> введенных паролей айпишник блокировался, например на сутки?  А то достали уже 
> скрипты-брутеры, что через тебя весь словарь прогоняют. Конечно, зайти таким 
> образом они не смогут, но трафика мегабайты на этом флуде высаживаются....
> 
> Смотрел, какие софтины есть наподобие, но они просто анализируют по крону логи 
> ssh и заносят айпишники в черный список. То есть делают это уже _после_ 
> атаки. А надо бы во время ее....

Пара идей в порядке бреда.

sshd проверяет пароли через pam. То есть возможно придумать pam-модуль 
который при некольких подряд неверных паролях, прописывает 
соответствующее правило в iptables и шлет админу отчет по email.
Но в этом случае придется все-таки ковырять sshd на предмет передачи 
этому pam-модулю ip-адреса врага, если конечно возможно такое вообще.

Вторая идея в том, что при такой атаке происходит много новых соединений 
с одного и того же ip. Возможно это как-то можно разрулить iptables, с 
помошью -m state и -m limit

Похоже по логам самое простое...

-- 
Taras Ablamsky