[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: fail2ban
Форум PHP программистов > Установка и администрирование ПО
fail2ban
4.11.2012 - 18:59
Здрасте, подскажите на сколько правильно защищать ssh таким вот методом? и правильно ли в статье все написано? http://centos.ultra-sr.ru/ssh-fail2ban/
VELIK505
5.11.2012 - 04:12
Это всё лишняя брехня.
Достаточно поставить вход в ssh по айпи через файрвол и тогда к ssh даже подключиться никто не сможет.
Или в login.access прописать такую строку в самомом верху :
-:root:ALL EXCEPT LOCAL xx.xx.xxx.xx

где xx.xx.xxx.xx твой айпи вот и вся защита. Это на freebsd а если прочие осины то:
ssh_conf и sshd_conf 2 файлика лежат в etc/ssh
в них можешь прописать строку:
allowedadress xx.xx.xxx.xx

где xx.xx.xxx.xx твой айпи если надо с нескольких айпи иметь вход перечисляй через пробелы айпишники
fail2ban
5.11.2012 - 10:24
Цитата (VELIK505 @ 5.11.2012 - 03:12)
Это всё лишняя брехня.
Достаточно поставить вход в ssh по айпи через файрвол и тогда к ssh даже подключиться никто не сможет.
Или в login.access прописать такую строку в самомом верху :
-:root:ALL EXCEPT LOCAL xx.xx.xxx.xx

где xx.xx.xxx.xx твой айпи вот и вся защита. Это на freebsd а если прочие осины то:
ssh_conf и sshd_conf 2 файлика лежат в etc/ssh
в них можешь прописать строку:
allowedadress xx.xx.xxx.xx

где xx.xx.xxx.xx твой айпи если надо с нескольких айпи иметь вход перечисляй через пробелы айпишники

Уважаемый VELIK505, дело в том что у меня ip динамический, сделать статистический невозможно (в нашем городе делают статистические ip только юридическим лицам).
В серверных файлах я плохо разбираюсь (чайник).
Захожу я на сервер через WinSCP но это же тоже самое что и ssh...
Я бы с радостью хотел сделать доступ только по ip только как если у меня ip динамический... не вариант.
Мне нужно закрыть доступ на 8080 порт и на 22.
С 8080 портом можно сделать же так - зайти через WinSCP и в каком то файле серверном прописать что то (дать доступ только по ip для 8080 порта), таким образом даже если у меня ip динамический я всегда смогу зайти через WinSCP и в конфиге изменить ip-шник на настоящий который у меня будет в тот момент.
Только вот спрашивается вопрос как это сделать, вы не могли бы объяснить или дать точную статью для чайника...

Как быть с 22 портом ведь если я сделаю как вы сказали у меня ip сменится и я уже не смогу зайти на сервер..., какой способ решения проблемы вы мне посоветуете?
VELIK505
5.11.2012 - 14:18
Это что за город такой что нет айпи белого у провайдера.
Активируйте все правила iptables в /etc/iptables
После 3 попыток поставь подключение в течение 60 секунд, блок.
и перенеси ssh на другой порт.
ну если уж совсем не понятно как это сделать то используй sshguard или файл2бан свой=) но всё таки лучше решать через айпи или через файрвол чем прочим софтом
alexbel2404
5.11.2012 - 16:09
раньше ставил fail2ban, с баном на сутки.
Сейчас на всех серверах ставлю Google Authenticator http://habrahabr.ru/sandbox/33416/
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2025 Invision Power Services, Inc.