সাইগউইন এসএসএইচডি অটব্লক ব্যর্থ লগিন


20

আমি একটি উইন্ডোজ সার্ভার ২০০৮ মেশিনে এসএসএইচ ডিমন দিয়ে সাইগউইন চালাচ্ছি। আমি ইভেন্ট ভিউয়ারটির দিকে চেয়ে ছিলাম এবং লক্ষ্য করেছি যে বিভিন্ন আইপি থেকে গত সপ্তাহ বা তার জন্য প্রতি সেকেন্ডে (ব্রুট ফোর্স) প্রতি 5 থেকে 6 টি ব্যর্থ লগইন প্রচেষ্টা attempts

আমি কীভাবে এই আইপিগুলিকে ম্যানুয়ালি একটি করে ব্লক না করে অটব্লক করতে পারি?

ধন্যবাদ, আহমদ

উত্তর:


34

আপনি কয়েক বছর আগে আইপি ঠিকানাগুলি ব্লক করার জন্য একটি প্রোগ্রাম লিখেছিলাম, তবে এটি কোনও গ্রাহকের জন্য ভাড়া হিসাবে কাজ করে। যেহেতু আমি আজ সন্ধ্যায় কিছু "অতিরিক্ত" সময় দিয়ে শেষ করেছি আমি পুরো জিনিসটি স্থল থেকে পুনরায় বাস্তবায়ন করতে, কিছু দরকারী ডকুমেন্টেশন লিখতে এবং সাধারনত এটিকে উপস্থাপনযোগ্য প্রোগ্রাম হিসাবে বেছে নেওয়ার পছন্দ করেছি। যেহেতু আমি একাধিক ব্যক্তির কাছ থেকে শুনেছি যে এটি সম্ভবত একটি উপযুক্ত কাজ হবে যা মনে হয় এটি সম্ভবত সময়ের জন্য উপযুক্ত। আশা করি আপনি এবং সম্প্রদায়ের অন্যান্য সদস্যরা এর থেকে কিছুটা সুবিধা পেতে পারেন।


উইন্ডোজ sshd_ block

sshd_ block একটি ভিবিএস স্ক্রিপ্ট প্রোগ্রাম যা sshd দ্বারা লগড উইন্ডোজ ইভেন্ট লগ এন্ট্রি গ্রহণ করতে ডাব্লুএমআই ইভেন্ট সিঙ্ক হিসাবে কাজ করে। এটি এই লগ এন্ট্রিগুলিকে পার্স করে এবং তাদের উপর নিম্নলিখিত হিসাবে কাজ করে:

  • আইপি অ্যাড্রেসটি "নিষেধাজ্ঞার সাথে সাথে" চিহ্নিত হিসাবে ব্যবহারকারীর নাম দিয়ে লগইন করার চেষ্টা করলে আইপি ঠিকানাটি তত্ক্ষণাত নিষিদ্ধ করা হয়।

  • যদি আইপি ঠিকানাটি নির্দিষ্ট সময়সীমার মধ্যে অনুমোদিত হওয়ার চেয়ে বেশি ঘন ঘন লগন করার চেষ্টা করে তবে আইপি ঠিকানাটি নিষিদ্ধ করা হয়েছে।

"অবিলম্বে নিষেধাজ্ঞার" ব্যবহারকারীর নাম এবং বারবার লগন প্রয়াসগুলির সাথে যুক্ত থ্রেশহোল্ডগুলি স্ক্রিপ্টের "কনফিগারেশন" বিভাগে কনফিগারযোগ্য। ডিফল্ট সেটিংস নীচে রয়েছে:

  • অবিলম্বে ব্যবহারকারীর নাম নিষিদ্ধ করুন - প্রশাসক, মূল, অতিথি
  • লগনের প্রচেষ্টা অনুমোদিত - 5 সেকেন্ডে 120 সেকেন্ড (2 মিনিট)
  • নিষেধাজ্ঞার সময়কাল - 300 সেকেন্ড (5 মিনিট)

সেকেন্ডে একবার নিষেধাজ্ঞার সময়কালের জন্য নিষিদ্ধ হওয়া কোনও IP ঠিকানা নিষিদ্ধ করা হয় (রাউটিং টেবিল থেকে ব্ল্যাকহোল রুটটি সরিয়ে দিয়ে)।


আপনি এখানে সফ্টওয়্যারটি ডাউনলোড করতে পারেন এবং এখানে সংরক্ষণাগারটি ব্রাউজ করতে পারেন ।

সম্পাদনা:

২০১০-০১-২০১৮ পর্যন্ত আমি ফায়ারওয়াল বিধি তৈরির মাধ্যমে ট্র্যাফিক ব্ল্যাক হোল্ডিং সম্পাদনের জন্য উইন্ডোজ ভিস্তা / ২০০ / / / / ২০০৮ আর 2 এ "অ্যাডভান্সড ফায়ারওয়াল" ব্যবহার করে সমর্থন করার জন্য কোডটি আপডেট করেছি (যা এর সাথে সামঞ্জস্যপূর্ণ অনেক বেশি "fail2ban" এর আচরণ)। আমি "অবৈধ ব্যবহারকারী" "অবৈধ ব্যবহারকারী" এর বিপরীতে ওপেনএসএসএইচ সংস্করণগুলি ধরতে কিছু অতিরিক্ত মেলানো স্ট্রিংও যুক্ত করেছি।


2
আমি আপনার কাজটির প্রশংসা করি এবং মনে করি এটি একটি দুর্দান্ত ধারণা, তবে আরডিপি প্রচেষ্টা নিয়ে কাজ করার জন্য এটির সংশোধন করার সুযোগ রয়েছে কি? আমার উইন্ডোজ সার্ভারগুলিতে অবিচ্ছিন্নভাবে অনলাইনে আক্রমণ করা হচ্ছে এবং অ্যাকাউন্ট লকআউট আউট হয়েছে যদিও সেমি-এফটিফিট সেই ব্যবহারকারীটিকে আবার কাজ করার জন্য আনলক করা দরকার, অন্য অ্যাকাউন্টের জন্য লক আউট ব্যবহারকারীর অ্যাকাউন্টটি ব্যাক আপ করে।

@ হেনরি: সার্ভারফল্ট দেখুন /
ইভান অ্যান্ডারসন

এই স্ক্রিপ্টটি আমার সিপিইউর 10 শতাংশেরও বেশি
সফলতা

@ সাইকোড্যাড: আপনি যদি আগ্রহী হন তবে আমার সাথে সরাসরি যোগাযোগ করুন এবং আমরা সমস্যা সমাধান করব। আপনি যে আচরণটি দেখছেন তা আমি দেখিনি।
ইভান অ্যান্ডারসন

1
আমি আরডিপি সংযোগের জন্য এটি দেখতে চাই। ধন্যবাদ
বুমহাউয়ার

3

লিনাক্স অস্বীকারকারীরা কৌতুকটি করে, উইন্ডোজ / সাইগউইনে এটি কার্যকর হবে কিনা তা আপনাকে জানাতে পারবেন না। একবার চেষ্টা করে দেখো.


2

এটি একটি খুব আকর্ষণীয়, আমরা বর্তমানে এই সমাধানটি মূল্যায়ন করছি:

সিসপিস একটি সর্বোত্তম পারফরম্যান্সে সম্ভাব্য হুমকি সনাক্ত করতে উইন্ডোজের সাথে নিবিড়ভাবে কাজ করে। ইভেন্ট লগের ইভেন্টগুলি যে কোনও সন্দেহজনক আচরণের জন্য অবিচ্ছিন্নভাবে পর্যবেক্ষণ করা হয়। যদি কোনও ইভেন্টটিকে সিস্টেমের জন্য হুমকি হিসাবে মনে করা হয় তবে সিসপিস একটি অভ্যন্তরীণ নিয়ম বেসের বিরুদ্ধে যাচাই করে আইপি অ্যাড্রেসকে ব্লক করে এবং উইন্ডোজ ফায়ারওয়ালে নিয়ম যুক্ত করে পরবর্তী স্তরে চলে যায়।

স্থানীয় হোয়াইটলিস্ট

কোনও ব্যবহারকারী সর্বদা স্থানীয় শ্বেত তালিকাতে আইপি ঠিকানা যুক্ত করতে পারেন, উদাহরণস্বরূপ, কোনও অভ্যন্তরীণ নেটওয়ার্ক ব্লক করা বা অস্থায়ীভাবে একক পিসি যুক্ত করতে পারেন। এটি সাবধানতার সাথে ব্যবহার করা উচিত কারণ এই তালিকার কোনও আইপি সিসপিসের দ্বারা বিশ্বাসযোগ্য হিসাবে বিবেচিত এবং সর্বদা উপেক্ষা করা হবে।

স্থানীয় ব্ল্যাকলিস্ট

যে কোনও হুমকি স্থানীয় ব্ল্যাকলিস্টে সিসপিস দ্বারা স্বয়ংক্রিয়ভাবে যুক্ত হবে। আপনি সর্বদা ব্ল্যাকলিস্ট পর্যালোচনা করতে পারেন এবং উপযুক্ত হিসাবে আপনি এগুলি যুক্ত বা সরাতে পারেন। তবে আমরা আপনাকে সুপারিশ করেছিলাম, আপনি এই তালিকায় কোনও পরিবর্তন করবেন না কারণ আপনি দুর্ঘটনাক্রমে কোনও অজানা হ্যাকারের পথ প্রশস্ত করতে পারেন।

গ্লোবাল ব্ল্যাকলিস্ট

সিসপিসের একটি মূল বৈশিষ্ট্য হ'ল বিশ্বব্যাপী পরিচিত কালো তালিকাভুক্ত আইপি অ্যাড্রেসগুলিকে প্রাকৃতিকভাবে ব্লক করার ক্ষমতা। এই বিকল্পটি চয়ন করে, সিসপিস আপনার ক্লায়েন্টের উপরে গ্লোবাল ব্ল্যাকলিস্ট আমদানি করবে এবং সেই অনুযায়ী কাজ করবে, একটি বোতামের ধাক্কায় ফায়ারওয়াল রুলসেটে সমস্ত বিশ্বব্যাপী কালো তালিকাভুক্ত আইপি ঠিকানা যুক্ত করবে।

মেসেজিং

যখনই কোনও গুরুত্বপূর্ণ ঘটনা ঘটে তখন পরিষেবাটি চালু বা বন্ধ হয়ে যায়, ফায়ারওয়াল থেকে নিয়ম স্থাপন করা হয় বা কেন্দ্রীয় লাইসেন্স এবং বিশ্বব্যাপী ব্ল্যাকলিস্ট সার্ভারে যোগাযোগের স্থিতি পরিবর্তন করা হয়, সিসপিসের এপ্রোপিয়েট লোকদের মেল প্রেরণের ক্ষমতা রয়েছে আপনার সংস্থা

প্রতিবেদন

গুরুত্বপূর্ণ ইভেন্টটি ঘটলে ইমেলগুলি পাওয়া ভাল হতে পারে তবে কখনও কখনও আপনি সংক্ষিপ্তসারটি পেতে চাইবেন। সিসপিস আপনার সিস্টেমে সমস্ত আক্রমণ প্রচেষ্টা সহ একটি দৈনিক প্রতিবেদন সংকলন করে এবং আপনাকে তথ্য সহ একটি বার্তা প্রেরণ করে। সিসপিসও একইভাবে একটি সাপ্তাহিক প্রতিবেদন সংকলন করে।

www.syspeace.com


2

আক্ষরিক অর্থে আমার সার্ভারে চীন / মার্কিন / ভারত থেকে সমস্ত লগইন প্রচেষ্টা প্রশাসক লগইন চেষ্টা করে, যা আমি অক্ষম করেছি।

অ্যাডমিন লগইন নিষ্ক্রিয় করা এবং তারপরে এমন কোনও স্ক্রিপ্ট লিখতে সহজ হবে না যা "আইডি প্রশাসক" ব্যবহারকারীর নাম হিসাবে লগইন করার চেষ্টা করে এমন সমস্ত আইপি ঠিকানা ব্লক করে?


1

আপনার উইন্ডোজ ফায়ারওয়ালের সাথে ঝামেলা করতে হতে পারে; সাইগউইনের এই ধরণের কার্যকারিতা নেই।


1

আপনি এসএসএইচব্লকটি ব্যবহারের বিষয়ে বিবেচনা করতে পারেন - ব্রুট ফোর্স প্রচেষ্টা নিয়ন্ত্রণের জন্য পার্ল স্ক্রিপ্ট।

এসএসএইচব্লক হ'ল এসএসএইচ ব্যবহার করে ব্রেক-ইন প্রয়াসের জন্য সিসলগ লগটি নিরীক্ষণ করার জন্য এবং /etc/hosts.allow (টিসিপি র্যাপার্স) -তে লাইন যুক্ত করে বাজে হোস্টগুলি স্বয়ংক্রিয়ভাবে ব্লক করার জন্য একটি ডেমন। একটি দীর্ঘ বা সংক্ষিপ্ত সময়ের মধ্যে অনেক চেষ্টা করে যারা চেষ্টা করে তাদের ব্লক করতে সক্ষম হতে কয়েকটি থ্রেশহোল্ডগুলি পূর্বনির্ধারিত হয়। কমান্ড লাইনের বিকল্পগুলি দেখতে -h ব্যবহার করুন।

আমি এখনও সাইগউইনে এটি ব্যবহার করি নি।
তবে এখানে আরও কিছু উপায়ে ssh block বর্ণনা করে অন্য একটি নিবন্ধের লিঙ্ক:
ব্রুট ফোর্স ssh আক্রমণ থেকে রক্ষা করা

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.