Fail2Ban или DenyHosts заблокировать недопустимые попытки входа в систему SSH
Это немного сложнее, чем просто добавить файл.
Сначала вам нужно будет перестроить .orig.tar.gz с включенными двоичными файлами в новом исходном пакете и, вероятно, понадобится для увеличения версии программного обеспечения (package_1.0.0.orig.tar.gz -> package_1.0.1.orig.tar.gz или чего-то еще] как в tar, так и в debian/changelog.
После изменения файла orig.tar.gz с новыми файлами (do НЕ включать debian / files в orig.tar.gz), вы затем добавили бы запись debian/changelog, изменив версию, чтобы увеличить ее, как вы это делали с orig.tar.gz.
Затем перестройте исходный пакет (debuild -S) и загрузить новый исходный пакет в PPA. Этот новый исходный пакет перезапишет «более старый» в PPA.
Из чата:
@LordofTime ... wouldnt launchpad complain that its just received a different original source file
@fossfreedom not if you increment the version
new version, new source
@fossfreedom if you don't increment the version it'll explode
so you must increment the version
also, make individual debian packages for each release of ubuntu
and it'll not yell as much (it'll still enforce original version)
i.e.
"I am updating the NGINX PPA from 1.2.2 to 1.2.3. I need to get the 1.2.3 source, and work from that."
"I change the package, and the .orig.tar.gz, and upload the new package to Launchpad."
"If there are no build errors, then i'm done. If there is a build error, then I damned well better fix that error."
(then reupload with 1.2.3-2 or something)
but generally i do build testing in a staging repo
3 ответа
Почему бы просто не отказать всем корневым входам полностью в SSH, а не использовать Fail2Ban или другие вещи? Делая это и отказывая в использовании корневого входа, вы удаляете проблему блокировки всех, потому что, даже если они угадают пароль root, это отменит их логин. Независимо от того, сколько раз они пытаются.
В /etc/ssh/sshd_config найдите строку, содержащую PermitRootLogin. Отредактируйте это с помощью любого текстового редактора, но убедитесь, что вы используете sudo / gksudo (gksudo, только если вы используете текстовый редактор графического интерфейса). Сделайте эту строку, о которой я упомянул, скажем PermitRootLogin no, затем сохраните ее и сделайте sudo service ssh restart.
(Этот ответ был написан для неверно заданного первоначального вопроса. Этот ответ не будет изменен в соответствии с пересмотренным вопросом , потому что это выходит за рамки моей способности отвечать. Я могу удалить этот ответ в будущем)
-
1У меня есть этот параметр, однако, что я пытаюсь сделать, это удалить весь ненужный трафик на сервер. Я пытаюсь заблокировать IP-адрес после трех попыток использования неправильного имени пользователя, включая root. У меня были попытки войти в систему с именами пользователей, такими как Гарри Поттер, Салли ... и т. Д. – slayton1213 21 March 2013 в 01:35
-
2@ slayton1213 Основываясь на вашем комментарии, я пересмотрел ваш вопрос и то, что он спрашивает, чтобы более конкретно указать, какова ваша фактическая цель. Пожалуйста, подтвердите, что я прав. – Thomas Ward♦ 21 March 2013 в 01:41
-
3да, это правильно. – slayton1213 21 March 2013 в 01:41
-
4Хорошо, я не могу ответить ЭТО, я ответил только на начальный вопрос, @ slayton1213. Вероятно, я удалю этот ответ в ближайшем будущем. – Thomas Ward♦ 21 March 2013 в 01:59
Это намеренно не поддерживается в fail2ban:
Другими словами, недопустимые пользователи могут получить 2 попытки, а неверный пароль для действительных пользователей - 5 попыток. Как это можно сделать в fail2ban? Убедительный аргумент против этого говорит о том, что он позволяет злоумышленнику узнать, действительно ли имя пользователя является действительным и тем самым значительно уменьшает пространство поиска атаки грубой силы.Я нашел ваш вопрос, пытаясь сделать то же самое, но теперь я передумал. Помимо преимущества секретности, зачем экономить время злоумышленника, отрезав его раньше?
Вы можете повысить свою безопасность, включив секцию roundcube. У Roundcube есть доступные плагины для плагинов, которые будут смягчать это, но пользователи будут жаловаться, если они должны ввести пароль для входа в систему для отправки по электронной почте.
Fail2ban предоставляет простое решение для этого.
Прежде всего, мы должны добавить roundcube в /etc/fail2ban/jail.conf
[roundcube]
enabled = false
port = http,https
filter = roundcube
action = iptables-multiport[name=roundcube, port="http,https"]
logpath = [YOUR PATH TO ROUNDCUBE HERE]/logs/errors
maxretry = 5
findtime = 600
bantime = 3600
Измените [YOUR PATH TO ROUNDCUBE HERE] в приведенном выше примере на вашу фактическую папку roundcube
, например /home/roundcube/public_html/logs/errors
Затем нам нужно создать фильтр.
Добавить /etc/fail2ban/filter.d/roundcube.conf
[Definition]
failregex = IMAP Error: Login failed for . from <HOST>(\. . in .?/rcube_imap\.php on line \d+ \(\S+ \S+\))?$
ignoreregex =
Теперь у нас есть основы в место, нам нужно проверить наш фильтр. Для этого мы используем fail2ban-regex.
Наслаждайтесь