Denyhosts বনাম ব্যর্থ ব্যর্থ ব্যর্থ iptables বনাম- জোর করে বল লগন প্রতিরোধের সেরা উপায়?

62

আমি একটি ল্যাম্প সার্ভার স্থাপন করছি এবং এসএসএইচ / এফটিপি / ইত্যাদি প্রতিরোধ করা দরকার। বর্বর-শক্তি লগন সফল হওয়ার চেষ্টা করে। আমি অস্বীকারকারী এবং ব্যর্থ 2 বন উভয়ের জন্য অনেকগুলি সুপারিশ দেখেছি, তবে দুজনের তুলনায় কয়েকটি কম few আমি আরও পড়েছি যে একটি আইপিটিবেলস নিয়ম একই ফাংশনটি পূরণ করতে পারে।

আমি কেন এই পদ্ধতির একটি অন্যটির চেয়ে বেছে নেব? সার্ভারফল্টে থাকা লোকেরা কীভাবে এই সমস্যাটি পরিচালনা করে?

— spiffytech
সূত্র

53

আইআইআরসি, ড্যানিহোস্টগুলি কেবলমাত্র আপনার এসএসএইচ পরিষেবাটি দেখবে। অন্যান্য পরিষেবাদিও সুরক্ষিত করার জন্য আপনার যদি এটির প্রয়োজন হয় তবে ফেইল 2ban অবশ্যই আরও ভাল পছন্দ। আপনি যদি এটির কনফিগারেশনটি টুইঙ্ক করতে ইচ্ছুক হন তবে প্রায় কোনও পরিষেবা দেখার জন্য এটি কনফিগারযোগ্য, তবে এটি প্রয়োজনীয় হবে না কারণ ফেইলব্যাবের নতুন সংস্করণগুলিতে রুলসেটগুলি অন্তর্ভুক্ত রয়েছে যা অনেক জনপ্রিয় সার্ভার ডেমনগুলির জন্য উপযুক্ত। কোনও সাধারণ iptables রেট সীমাতে ব্যর্থ 2ban ব্যবহার করার ফলে কোনও আক্রমণকারীকে নির্দিষ্ট সময়ের জন্য সম্পূর্ণরূপে অবরুদ্ধ করার সুবিধা রয়েছে, কেবলমাত্র সে আপনার সার্ভারটি কতটা দ্রুত হাতুড়ি করতে পারে তা হ্রাস করার পরিবর্তে। আমি বেশ কয়েকটি প্রোডাকশন সার্ভারগুলিতে দুর্দান্ত ফলাফল সহ ফেলফল 2 ব্যবহার করেছি এবং যেহেতু আমি এটি ব্যবহার শুরু করেছি তখন থেকে সেগুলির মধ্যে একটিও বর্বর বাহিনীর আক্রমণে ভঙ্গ হয়নি seen

— রন
সূত্র

3

নোট করুন যে ড্যানিহোস্টগুলি অন্যান্য পরিষেবাদিগুলিকে ব্লক করে দেবে - মূল পার্থক্য হ'ল ফেইল 2 ইপন টেবিলগুলি ব্যবহার করে যেখানে ড্যানিহোস্টগুলি হোস্টসডেনি ব্যবহার করে, কিছু পরিষেবাদি অ্যাপাচি-তে হোস্ট ফাইলগুলিতে নজর দেয় না।

— জামমিপেক

টেবিলের উপরে অন্য বিকল্পটি ছুঁড়ে ফেলার জন্য, আমি সম্প্রতি আবিষ্কার করেছি যে ufw ফায়ারওয়াল কনফিগারেটর আপনাকে যে কোনও টিসিপি বা ইউডিপি বন্দরে একটি (অ-কনফিগারযোগ্য) হার সীমা প্রয়োগ করতে দেয়। আপনি যদি ইতিমধ্যে ইউএফডাব্লু ব্যবহার করেন তবে অতিরিক্ত ডেমনটি কনফিগার করে চালানোর পরিবর্তে এটি একটি ভাল বিকল্প হতে পারে।

— spiffytech

ব্রুটফোর্স লঙ্ঘন প্রতিরোধ করার জন্য প্রথমে হ'ল যুক্তিযুক্ত শক্তিশালী পাসওয়ার্ড ব্যবহার করা (বা এমনকি পাসওয়ার্ড প্রমাণকে পুরোপুরি অক্ষম করা) :)। রেট-সীমাবদ্ধকরণ (একা) এর জন্য দুর্বল হওয়া। আমি বিকল্পগুলি চেষ্টা করেছিলাম না তবে আমি নিজেই ব্যর্থ 2ban ব্যবহার করেছি এবং এটি পাসওয়ার্ড প্রোবোটিং বটগুলি প্রতিরোধ করার পরিবর্তে দরকারী বলে মনে করি।

— পেটর গ্ল্যাডকিখ

আমার অভিজ্ঞতায়, ব্যর্থ 2ban এটি আসলে কিছু করার জন্য আরও কিছু কাজ করা দরকার। বিপরীতে, আপনি আরও জটিল বিকল্পগুলির কাজ করার সময় আপনার সার্ভারটি সুরক্ষার জন্য আপনি কেবল অস্বীকারকারী আরপিএম ইনস্টল করতে এবং এটি শুরু করতে পারেন। আমি স্পষ্টভাবে একমত হই যে ফেলফল 2 'আরও ভাল' তবে সহজ সুরক্ষার জন্য আপনি অস্বীকারকারীদের বীট করতে পারবেন না।

— রাল্ফ বোল্টন

21

নিষ্ঠুর বাহিনী লগইন প্রতিরোধের সেরা উপায়?

তাদের প্রথমে আপনার মেশিনে উঠতে দেবেন না! আপনার হোস্টের কাছে যাওয়ার আগে বা এসএসএইচ স্তরে জোরপূর্বক প্রচেষ্টা বন্ধ করার প্রচুর উপায় রয়েছে।

এই বলে যে, ব্যর্থ 2ban এর মতো আপনার অপারেটিং সিস্টেমটিকে সুরক্ষা দেওয়া একটি দুর্দান্ত ধারণা। Fail2ban DenyHosts এর থেকে কিছুটা আলাদা, যদিও তারা একই জায়গায় খেলে। Fail2ban iptables ব্যবহার করে।

http://en.wikipedia.org/wiki/Fail2ban

Fail2ban DenyHosts এর অনুরূপ ... তবে DenyHosts এর বিপরীতে যা এসএসএইচ-তে দৃষ্টি নিবদ্ধ করে, ব্যর্থ2ban কোনও লগ ফাইলের জন্য লগইন প্রচেষ্টা লেখার যে কোনও পরিষেবা নিরীক্ষণ করার জন্য এবং /etc/hosts.deny পরিবর্তে কেবল আইপি ঠিকানা / হোস্ট ব্লক করতে কনফিগার করা যেতে পারে , ব্যর্থ 2ban নেটফিল্টার / iptables এবং টিসিপি র্যাপার্স /etc/hosts.deny ব্যবহার করতে পারে।

ব্রুট ফোর্স লগইনগুলি রোধে সহায়তা করার জন্য আপনার অনেকগুলি গুরুত্বপূর্ণ সুরক্ষা কৌশল বিবেচনা করা উচিত:

SSH- র:

রুটটিকে লগইন করতে দেবেন না
এসএসএস পাসওয়ার্ডগুলির অনুমতি দেবেন না (ব্যক্তিগত কী প্রমাণীকরণ ব্যবহার করুন)
প্রতিটি ইন্টারফেসে শুনবেন না
এসএসএইচ (যেমন এথ 1) এর জন্য একটি নেটওয়ার্ক ইন্টারফেস তৈরি করুন, যা আপনার অনুরোধগুলির (যেমন eth0) অনুরোধ করা ইন্টারফেসের থেকে আলাদা is
সাধারণ ব্যবহারকারীর নাম ব্যবহার করবেন না
একটি অনুমতি তালিকা ব্যবহার করুন এবং কেবল এসএসএইচ অ্যাক্সেস প্রয়োজন এমন ব্যবহারকারীদের অনুমতি দিন
আপনার যদি ইন্টারনেট অ্যাক্সেসের প্রয়োজন হয় ... আইপিগুলির একটি সীমাবদ্ধ অ্যাক্সেসে অ্যাক্সেসকে সীমাবদ্ধ করুন। একটি স্ট্যাটিক আইপি আদর্শ, তবে এটিকে xx0.0 / 16 এ লক করা 0.0.0.0.0/0 এর চেয়ে ভাল is
যদি সম্ভব হয় ইন্টারনেট অ্যাক্সেস ছাড়াই সংযোগের কোনও উপায় খুঁজে পাওয়া যায়, তবে আপনি এসএসএইচের জন্য সমস্ত ইন্টারনেট ট্র্যাফিককে অস্বীকার করতে পারেন (যেমন এডাব্লুএস এর সাহায্যে আপনি একটি সরাসরি সংযোগ পেতে পারেন যা ইন্টারনেটকে বাইপাস করে, এটি ডাইরেক্ট কানেক্ট বলে)
যেকোন হিংস্র ফোর্স আক্রমণটি ধরার জন্য ফায়ালব্যাবনের মতো সফ্টওয়্যার ব্যবহার করুন
নির্দিষ্ট সুরক্ষা এবং ssh প্যাকেজগুলিতে ওএস সর্বদা আপ টু ডেট রয়েছে তা নিশ্চিত করুন

অ্যাপ্লিকেশন:

আপনার সুরক্ষা নির্দিষ্ট প্যাকেজগুলিতে আপনার অ্যাপ্লিকেশন সর্বদা আপ টু ডেট রয়েছে তা নিশ্চিত করুন
আপনার অ্যাপ্লিকেশন 'অ্যাডমিন' পৃষ্ঠা লক করুন। উপরের পরামর্শগুলির অনেকগুলি আপনার প্রয়োগের প্রশাসক ক্ষেত্রেও প্রযোজ্য।
পাসওয়ার্ড আপনার প্রশাসনিক অঞ্চলটি সুরক্ষিত করুন, ওয়েব কনসোলের জন্য এইচটিপ্যাসডওডের মতো কিছু কোনও অন্তর্নিহিত অ্যাপ্লিকেশন দুর্বলতাগুলি প্রজেক্ট করবে এবং প্রবেশের ক্ষেত্রে অতিরিক্ত বাধা তৈরি করবে
ফাইল অনুমতি লক ডাউন। 'আপলোড ফোল্ডারগুলি' সমস্ত ধরণের বাজে উপাদানের এন্ট্রি পয়েন্ট হওয়ার জন্য কুখ্যাত।
আপনার অ্যাপ্লিকেশনটিকে একটি ব্যক্তিগত নেটওয়ার্কের পিছনে রাখার কথা বিবেচনা করুন এবং কেবল আপনার ফ্রন্ট-এন্ড লোড ব্যালেন্সার এবং একটি জাম্পবক্সকে উন্মোচন করুন (এটি ভিপিসি ব্যবহার করে এডাব্লুএসে একটি সাধারণ সেটআপ)

— ড্রু খোরি
সূত্র

1

আপনি কী "আপনার হোস্টে পৌঁছানোর আগে, এমনকি এসএসএইচ পর্যায়ে গিয়েও নিষ্ঠুর শক্তি প্রয়োগের প্রচেষ্টা বন্ধ করার প্রচুর উপায় রয়েছে তা" এই বিবৃতিতে আপনি ব্যাখ্যা করতে পারেন। বাহ্যিক নেটওয়ার্কিংয়ের উপর আপনার নিয়ন্ত্রণ নেই এমন হোস্টেড মেশিনগুলির জন্য আপনার কাছে যদি কোনও পরামর্শ থাকে তবে আমি বিশেষভাবে আগ্রহী। ধন্যবাদ!

— কেভিন কেইন

7

আমি একই আইপি ঠিকানা থেকে নতুন সংযোগগুলি রেট-সীমাবদ্ধ করার জন্য আইপটবেবল বিধিগুলি ব্যবহার করি (এসএসএইচ মূলত, তবে এটি এফটিপি-তেও কার্যকর কাজ করবে)। সুবিধাটি যেমনটি আমি দেখতে পেয়েছি, "ফেলফল 2" এবং এই জাতীয় অন্যান্য সরঞ্জামগুলির ওপরে এটি হ'ল iptables রুটটি সম্পূর্ণ কার্নেল মোডে ঘটে এবং লগ ফাইলগুলি লেজ / পার্স করার জন্য কোনও ব্যবহারকারী মোড সরঞ্জামগুলিতে নির্ভর করে না।

শত শত ব্যর্থ ssh লগইন

আপনি যদি এটি করতে পারেন তবে উত্সের ঠিকানাগুলিকে সীমাবদ্ধ করা যা প্রশ্নে প্রোটোকলগুলি অ্যাক্সেস করতে পারে, স্পষ্টতই, পাশাপাশি সহায়তা করবে।

এসএসএইচ সহ আপনার সত্যিকারের শংসাপত্র প্রমাণীকরণ ব্যবহার করা উচিত এবং কোনওভাবে পাসওয়ার্ড গ্রহণ করা উচিত নয়।

— ইভান অ্যান্ডারসন
সূত্র

@ এমসি ০ - আমি অনুসরণ করছি না

— ইভান অ্যান্ডারসন

7

এসএসএইচ রক্ষার জন্য অন্য কোন দুর্দান্ত উপায় (আমি এটি এক দশক বা তারও বেশি সময় ধরে ব্যবহার করেছি) iptables এ সাম্প্রতিক গ্রন্থাগারগুলি স্থানীয়ভাবে ব্যবহার করা (আপনার ডিসট্রোর উপর নির্ভর করে)।
মূলত এটি iptables মধ্যে অন্তর্নির্মিত thats পোর্ট হিসাবে নকশা হিসাবে ব্যবহার করা যেতে পারে। এটি আপনাকে প্রচুর মাথাব্যাথা বাঁচায়। যতক্ষণ আপনি টিসিপি সংযোগ করতে পারবেন (টেলনেট একটি উপায় I আমি এসএসএস ক্লায়েন্ট ব্যবহার করেছি এবং সেগুলি বন্দরে দেখিয়েছি Any যে কোনও কিছু যা নির্দিষ্ট বন্দর নম্বরটিতে টিসিপি সংযোগ করবে I'm ক্লায়েন্ট ssh সংযোগ শুরু করে আপনি এটি ব্যবহার করতে পারেন।

নীচে একটি উদাহরণ রয়েছে যা আপনার হোস্টের কাছে iptables ওপেন পোর্ট 22 থাকবে যখন আপনি আপনার হোস্ট থেকে 4103 পোর্টের সার্ভারে টেলনেট করবেন then তারপরে সেড ওপেনিং বন্ধ করতে আপনি 4102 বা 4104 পোর্টে একটি টেলনেট ব্যবহার করতে পারেন। 4102 এবং 4104 উভয়ের কারণ হ'ল 22 টি খোলার থেকে একটি সহজ টিসিপি স্ক্যান রাখা। 4103 পোর্টে কেবল একটি টিসিপি কানেক্ট (টেলনেট) আপনাকে অনুমতি দেবে।

উপভোগ করুন!

ওহ এবং আমি ফেইল 2 ব্যানের পক্ষে আছি। আরও নমনীয়তা এবং আমি পছন্দ করি যে নিষেধাজ্ঞা টিসিপিওয়ালার্সের পরিবর্তে আইপিটিবেলে ঘটে।

এসএসএইচ পোর্টকনকিং

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 4102 -m recent --name SSH --remove -j DROP
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 4103 -m recent --name SSH --set -j DROP
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 4104 -m recent --name SSH --remove -j DROP

— জেফ মুর
সূত্র

6

Fail2ban এবং Denyhosts এর মধ্যে আর একটি পার্থক্য হ'ল Denyhosts অন্যান্য Denyhosts ব্যবহারকারীদের সাথে ব্লক তালিকা ভাগ করতে পারে। Fail2ban এর সাহায্যে আপনি কেবলমাত্র আপনার সার্ভারের দেখা আইপিগুলিকেই ব্লক করতে পারবেন - ড্যানিহোস্টসের সাথে, অন্য কেউ যদি এটি দেখে থাকে এবং আপনার সার্ভারের কাছে ব্লক তালিকাটি আপনার সার্ভারে নাও পেতে পারে এবং আক্রমণকারীর আগে ব্লক তালিকাটি আপনার সার্ভারে ডাউনলোড হয় only আপনার কম্পিউটারে যায়।

তবুও অন্য পার্থক্যটি হ'ল ফেলাইল 2 ইপিটেবলগুলি ব্যবহার করে, অন্যদিকে ড্যানিহোস্টস টিসিপিওয়্যার্পার ব্যবহার করে। অন্যরা এই পার্থক্যের কথা আগেও উল্লেখ করেছেন, তবে কয়েকটি দিকের উল্লেখযোগ্য নোট রয়েছে।

আপনি কতটা আইপি অ্যাড্রেসকে দক্ষতার সাথে ব্লক করতে পারবেন তাতে আইপিটিবেলেস সীমাবদ্ধ। এটি সম্ভবত কারণগুলির মধ্যে একটি কারণ Fail2ban ব্লক তালিকাগুলি ভাগ করে নেওয়ার ব্যবস্থা রাখে না।

আরেকটি প্রভাব হ'ল iptables যখন nftables এর সাথে প্রতিস্থাপন করা হবে তখন Fail2ban সম্ভবত কাজ করা বন্ধ করবে বা আবার লিখতে হবে। অস্বীকারকারীরা সম্ভবত কাজ চালিয়ে যাবে।

সুতরাং, উভয়েরই সুবিধাগুলি এবং ঘাটতি রয়েছে। আমার দুটোই পছন্দ; নিজের জন্য, আমি ডিনিহোস্টগুলি ব্যবহার করছি কারণ সাধারণত আমি কেবল এসএসএইচ রক্ষা করতে চাই এবং আমি ব্লক তালিকাটি ভাগ করে নেওয়া পছন্দ করি।

— কেভিন কেনে
সূত্র

5

Fail2Ban সম্পর্কে একটি বিষয় লক্ষণীয় যে এটি DenyHosts এর চেয়ে 10MB বেশি মেমরি ব্যবহার করে বলে মনে হচ্ছে। সুতরাং আপনি যদি 128MB ভিপিএসে থাকেন তবে আপনি এটি সন্ধান করতে পারেন। এছাড়াও, অফ-অফ-বাক্স ফেলফল 2 কেবল এসএসএইচে সেটআপ করা হয়েছে যার অর্থ কনফিগারেশনের কোনও পরিবর্তন ছাড়াই - ড্যানিহোস্টগুলি কম স্মৃতিতে একই কাজ করে।

— Xeoncross
সূত্র

2

"Ulimit -s 256" / / etc / default / fail2ban এ যুক্ত করার চেষ্টা করুন। আমার সিস্টেমে 10MB নামিয়েছে।

— pkoch

3

অস্বীকৃতিগুলি ssh এর জন্য। ব্যর্থ 2ban আরও বিস্তৃত (HTTP, FTP, ইত্যাদি)। উভয়ই পর্দার আড়ালে iptables ব্যবহার করে।

— Ignacio Vazquez-Abram
সূত্র

"অস্বীকৃতি" এবং "ব্যর্থ 2ban" উভয়ই তাদের "ব্লকিং" আচরণ সম্পাদন করতে iptables ব্যবহার করে তবে তারা রেট-সীমাতে iptables ব্যবহার করে না। তারা "ব্যবহারকারীর জমিতে" লগগুলি পার্স করে এবং লগ এন্ট্রিগুলিতে কাজ করে।

— ইভান অ্যান্ডারসন

10

@ ইভান, অস্বীকারকারীরা iptables (ডিফল্টরূপে) ব্যবহার করে না। এটি সিস্টেমের নিষেধাজ্ঞার সময় টিসিপি র‍্যাপারগুলি ব্যবহার করে এবং আপনার /etc/hosts.deny আপডেট করে।

— জোড়াদেচে

@ জোরেদাছে: আমি সংশোধন করছি। এনভার আগে "অস্বীকারকারী" ব্যবহার করে, এটি কীভাবে এটির "ব্লকিং" কার্যকারিতা ডাকে সে সম্পর্কে আমি একটি ভুল ধারণা তৈরি করেছি। তবুও, ব্যবহারকারীর লগ-পার্সিং / প্রতিক্রিয়া সরঞ্জাম হওয়ায় আমি "অস্বীকারকারী" -এর জন্য কঠোরভাবে iptables- ভিত্তিক সমাধান ব্যবহার করতে পছন্দ করব।

— ইভান অ্যান্ডারসন

1

ক্লান্তিকর iptables বা ফেল22 কনফিগারেশনের সাথে গোলযোগ না করে, উন্মুক্ত সম্প্রদায়টি আপনার জন্য সমস্ত কাজ করে না কেন এবং পরিবর্তে সিএসএফ / এলএফডি ব্যবহার করবে না? আমি এটি উল্লেখযোগ্য অন্যান্য সমস্ত বিকল্পের চেয়ে উচ্চতর প্রস্তাব দিতে পারি। এটি আপনার সার্ভারগুলির জন্য কী করতে পারে তার জন্য http://configserver.com/cp/csf.html দেখুন । সিএসএফের একটি নিয়ন্ত্রণ প্যানেলের প্রয়োজন হয় না, এটি নিজেই একটি সাধারণ ইউআই সরবরাহ করে, যারা শেল দিয়ে এটি করতে চান না তাদের জন্য। এবং এটি প্রচুর স্থিতিশীল নির্ভরযোগ্য অনাবাসিক পার্ল-স্ক্রিপ্টিং।

— বেন
সূত্র

8

এটি আরও একটি বিজ্ঞাপনের মতো শোনাচ্ছে এবং আসল প্রশ্নটি দেখে los

— ড্রু খুরি

ঠিক আছে না, আমি আসল প্রশ্নটি নিয়ে টকটকে দেখিনি। আমি এমন একটি বিকল্প হস্তান্তর করেছি যা আপনাকে এই প্রশ্নটি থেকে নিজেকে বিরক্ত করতে বাধা দেবে। গম্ভীরভাবে, সিএসএফ / এলএফডি কেবল অন্য ফায়ারওয়াল নিয়ন্ত্রণ ব্যবস্থা নয়, এটি এখানে যথাযথভাবে উত্সর্গীকৃত সমস্যা থেকে উঠে এসেছে। কেন কেউ বিকশিত হতে চাইবে না? এটি আপনার অনেক সময় সাশ্রয় করে, কারণ অন্যরা ইতিমধ্যে এটি সমাধান করেছে। সে কারণেই সিএসএফ বিদ্যমান।

— বেন

এটির জন্য মূল্যবান, কেউ যদি আমার সময়ের উপার্জনের সামর্থ্যকে মূল্য দেয় তবে দামটি যদি সঠিক হয় তবে আমি কয়েক ডলার ব্যয় করেও এই ধরণের জিনিসটির জন্য একটি "প্লাগ 'এন প্লে" সমাধান চাইতাম। আমি সত্যই যত্নশীল না এমন স্টাফ সম্পর্কে শিখতে আমার এই সময় নষ্ট করতে হবে না তবে সুরক্ষা থাকার গুরুত্বটি স্বীকার করতে হবে।

— ডেভিড

1

ব্যর্থ2ban একটি সফল ssh লগইন সনাক্তকরণ এবং এর ব্যর্থতার গণনা পুনরায় সেট করার জন্য কোনও ব্যবস্থা আছে বলে মনে হয় না।

Sshd- এর স্ট্যান্ডার্ড ফিল্টার (কমপক্ষে আমার ডেবিয়ান ইনস্টলের উপরে), ক্লায়েন্ট সার্ভারটি প্রত্যাখ্যান করে এমন প্রতিটি এসএস কী-এর জন্য একটি ব্যর্থতা গণনা আটকে রাখে। কিছু ব্যবহারকারী প্রতিটি লগইনে অনেকগুলি কী উপস্থাপন করে এবং নিয়মিতভাবে লক আউট হয়ে যায়, একবারে কয়েকটি কীগুলি পাস করার পরে তাদের লগইনগুলি সফল হয়ে যায় successful

উপরের ফলস্বরূপ, আমি বর্তমানে ব্যর্থ 2 বন থেকে সরে যাওয়ার বিষয়ে ভাবছি। এই ক্ষেত্রে কমপক্ষে, অস্বীকারকারীগুলি আরও ভাল। তবে, সম্ভবত এটি আর ভাল বিকল্প নয়, এবং ডেবিয়ানের আরও সাম্প্রতিক সংস্করণগুলিতে আর সমর্থিত নয় ( https://www.chrissearle.org/2015/06/16/replacing-denyhosts-with-fail2ban-for- এ কিছু আলোচনা ডেবিয়ান / )

আমার এখানে ভাল সমাধান নেই।

— mc0e
সূত্র

আপনি যদি LDAP প্রমাণীকরণ ব্যবহার করেন তেমন একটি সমস্যা রয়েছে। অনেকগুলি সফল লগইন আপনাকে লক আউট করার কারণ করবে: বাগস.লাঞ্চপ্যাড.এন.বুন্টু

— মাইক

সমস্ত কীগুলি উপস্থাপিত হওয়া রোধ করতে, আপনার ব্যবহারকারীদের কীভাবে কীভাবে তাদের ~ / .ssh / config ফাইল ব্যবহার করতে হবে তা কীভাবে নির্দিষ্ট করতে হবে তা দেখান।

— বিলথোর

0

আসলে, আমি মনে করি অস্বীকারহোস্ট এসএসডি সার্ভিস ছাড়াও আরও অনেক পরিষেবা রোধ করতে সক্ষম। এর কনফিগার ফাইলটিতে - /etc/denyhosts.confকোডের কিছু লাইন রয়েছে বলেছে:

# BLOCK_SERVICE: the service name that should be blocked in HOSTS_DENY
#
# man 5 hosts_access for details
#
# eg.   sshd: 127.0.0.1  # will block sshd logins from 127.0.0.1
#
# To block all services for the offending host:  
BLOCK_SERVICE = ALL
# To block only sshd:
# BLOCK_SERVICE  = sshd

সুতরাং আমরা যদি BLOCK_SERVICEভেরিয়েবলকে ALLউপরে হিসাবে সেট করে রাখি তবে আমরা আমাদের এসএসএস পরিষেবাটি দেখতে পারি।

— MathNoob
সূত্র

0

Denyhosts সংস্করণ 3.0.০: প্রতিবার কোনও আইপি ঠিকানা কোনও লগ ফাইলে উপস্থিত হওয়ার সাথে সাথে ড্যানিহোস্টগুলি স্বাগত.দেনী ফাইলটি খোলে এবং ঠিকানার সাথে মেলে পুরো জিনিসটি পড়ে। প্রত্যেকবার. স্মৃতিতে কিছুই ক্যাশে হয় না। যদি আপনার কাছে বিশাল হোস্ট.ডেনী ফাইল থাকে এবং অনেকগুলি প্রোবের (অনেক লগ ফাইল এন্ট্রি) সাপেক্ষে, ড্যানিহোস্টগুলি উপস্থিত প্রতিটি আইপি ঠিকানার জন্য হোস্ট.ডেনি ফাইলটি পুনরায় পড়ার জন্য এবং সিপিইউ হগ হয়ে যায়। ভাল না.

আপনি iptables সমর্থন সক্ষম করে থাকলে, Denyhosts ব্লক করা আইপি অ্যাড্রেসের বিশাল, ধীর তালিকা তৈরি করবে। ডিএনহোস্টগুলি দক্ষ আইপি মানচিত্র তৈরি করতে আইপসেট বা এনফটেবল ব্যবহার করে না।

— আয়ান ডি অ্যালেন
সূত্র