Как я блокирую большие спектры дюйм/с, независимого от определенных для сервера опций?
Я устал от того, чтобы быть исследуемым международными пользователями, постоянно зондирующими вокруг краев моего сервера SSH, и в то время как DenyHosts был хорошей начальной точкой для управления доступом SSH, я решил, что хотел что-то немного отличающееся.
В конце концов - что, если Вы не выполняете SSH? Что, если у Вас есть сеть или FTP-сервер? Что, если Вы выполняете общедоступный сервер Minecraft? Что, если Вы выполняете всех их? Что, если Вы не выполняете ни одного из них кроме использования основанный на Linux маршрутизатор? Пользователи Apache могут рассмотреть использование .htaccess правила для веб-доступа, который является также хорошим выбором или настраивает modsecurity к строкам агента пользователя блока постоянно, в то время как mod_evasive оскорбительный дюйм/с блоков на временной основе (довольно полезный против пауков и ферм бота), но не там что-то немного более универсальное, которое может быть применено ко всем потенциальным конфигурациям и ситуациям?
1 ответ
Войти iptables и Wizcrafts. Не каждая система Linux прибывает настроенная с libwrap, и hosts.deny не всегда становится консультируемым или дает неожиданные результаты, если у Вас есть проблема с Вашей конфигурацией.
Было много аргументов среди системных администраторов, кто или поддерживайте или порицайте tcpwrappers. Некоторые говорят, что нет ничего вполне столь же захватывающего как точно настроено /etc/hosts.deny для держания нежелательных в страхе, в то время как другие говорят, это не образец безопасности, что это вернулось в 90-х, особенно когда дело доходит до помещения в черный список.
Я не хочу входить в любой из того - это совсем как Звездные войны по сравнению с кругом Звездного пути бесконечных аргументов. Я просто хочу проинформировать Вас (если Вы уже не были) разных мнений. Можно сделать собственные выводы.
Поскольку denyhosts требует, чтобы Ваш ssh сервер был настроен с tcp_wrappers вариант поддержки включил, он делает некоторых администраторов неудобными (я лично не возражаю против него однако). И как отмечалось ранее, denyhosts даже не приносит пользы, если Вы не выполняете SSH.
Так, каково было мое Универсальное решение? Довольно простой. Я взял все черные списки, кропотливо сохраняемые Wizcrafts (определенно стоящий того - его черные списки являются фантастическими!) и сохраненный их в единственный текстовый файл, затем записал этот сценарий оболочки, чтобы отфильтровать комментарии из списка и использовать iptables для блокирования диапазонов IP известных преступников со всего мира:
#/bin/bash
# |-----------------------------------------------------------------------------------------
# | rangeblock.sh - reads a list of IP ranges, filters non-numeric entries, then configures
# | iptables to block what's left
# |
# | Maybe it's cutting corners to just check the first character, but iptables will throw
# | out anything it doesn't like anyway, and the loop won't break on errors
# |
# | Hint: runs best as root
# |-----------------------------------------------------------------------------------------
file="wizcrafts.txt" # Change to a command-line option for more flexibility
while read line; do
echo " "
echo "Current Entry: $line"
if [[ ${line:0:1} == [0-9]* ]]; then
echo "$line is a valid IP range. Added to iptables block list."
iptables -I INPUT -s $line -j DROP
else
echo "$line was skipped. Not a valid IP or range."
fi
done <"$file"
Теперь, большая часть незаконного трафика отбрасывается, прежде чем это даже доберется до моего сервера SSH, и что-либо делает, который ДЕЙСТВИТЕЛЬНО проходит, обрабатывается denyhosts.
Ничто не никогда 100%, и это не заменяет умные методы (как не разрешение корня войти в систему через ssh), но это делает вещи намного легче иметь дело с.
Или, по крайней мере, это сделало для меня. Интересный побочный эффект - моя производительность системы и производительность сети, улучшенная почти на 30% после того, как я реализовал это.