Ich habe einen Ubuntu-Linux-Server mit Webzugriff. Aus diesem Grund erhalte ich eine ganze Reihe von Brute-Force-SSH-Versuchen (wer hat das nicht). Ich möchte die letzten N fehlgeschlagenen Anmeldeversuche in meiner Anmeldeaufforderung anzeigen. Ich habe das einfache Skript ausgearbeitet:
grep "Failed" /var/log/auth.log | tail -5
aber ich muss wissen, wo ich diese Skriptzeile ablege. Gibt es einen Ort, an dem ich sie Shell-unabhängig ablegen kann?
Antwort1
Es gibt einige Pakete, die Sie zur Abwehr von Brute-Force-Angriffen verwenden können.
- Denyhosts
- Fail2ban
Um Protokolle zu sammeln und Ihnen einen Bericht zu senden, können Sie logwatch verwenden. Es kann auch eine Zusammenfassung fehlgeschlagener Anmeldungen senden.
Um Ihre ursprüngliche Frage zu beantworten, können Sie Ihr Skript in „/etc/profile.d/yourscript.sh“ einfügen und es sollte beim Anmelden ausgeführt werden.
Sie können auch die Einrichtung des Pakets „arno-iptables-firewall“ in Betracht ziehen.
Antwort2
Es hängt wirklich von der Shell ab. bashSie sollten es in .bash_logineine Datei schreiben.
Zur Verhinderung von Brute-Force-Angriffen sage ich sshd normalerweise, dass es auf einem nicht standardmäßigen Port lauschen und die Kennwortauthentifizierung deaktivieren soll, abgesehen von den bereits vorgeschlagenen Maßnahmen zum Blacklisting der IP des Angreifers. Natürlich ist das nicht immer möglich, aber es ist auf jeden Fall effektiv.
Antwort3
Legen Sie alles in /etc/profile.
Es führt alles in /etc/profile aus, bevor zu Ihrer Shell-Startdatei gegangen wird.
Antwort4
Da ist einPerl-Skript,SSHBlockdas gegen Brute-Force-Angriffe auf SSH eingesetzt werden kann.
Es verfolgt häufige Versuche von einer IP-Adresse und verlangsamt diese Versuche.