Uživatelské nástroje
Postranní lišta
banana_pi_m2u:banovator
Toto je starší verze dokumentu!
Banovátor
Sada scriptů nahrazující fail2ban na ssh, jelikož fail2ban měl problémy reagovat včas a nebyl schopen odfiltrovat burst útoky.
- banovator-init.sh
#!/bin/bash ########################################## # Blokování SSH po 3 hitech na 5 minut # ########################################## dev_inet="eth0" # Výjimky které neblokovat iptables -A INPUT -p tcp --destination-port 22 -i $dev_inet -s 89.29.73.229 -j ACCEPT # Jeffrey iptables -A INPUT -p tcp --destination-port 22 -i $dev_inet -s 194.228.12.30 -j ACCEPT # Prace # Hlavní blokátor iptables -N SshLogBlock iptables -A INPUT -p tcp --destination-port 22 -i $dev_inet -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j SshLogBlock iptables -A INPUT -p tcp --destination-port 22 -i $dev_inet -m state --state NEW -m recent --set iptables -A INPUT -p tcp --destination-port 22 -i $dev_inet -j ACCEPT iptables -A SshLogBlock -j LOG --log-prefix "BLOCKED-SSH: " --log-ip-options iptables -A SshLogBlock -j DROP ### END blokování SSH ###
- banovator.sh
#!/bin/bash iptables -D INPUT -j bany 2> /dev/null iptables -F bany iptables -X bany 2> /dev/null iptables -N bany iptables -I INPUT 1 -j bany cat /etc/banned-ip | while read ipka comment; do iptables -A bany -s $ipka -j DROP done
- vycuc.sh
#!/bin/bash grep -v pam_unix /var/log/auth.log | grep -v sudo | grep -E [[:digit:]]\.[[:digit:]]\.[[:digit:]]\.[[:digit:]] > /tmp/short-auth.log grep -v pam_unix /var/log/auth.log.1 | grep -v sudo | grep -E [[:digit:]]\.[[:digit:]]\.[[:digit:]]\.[[:digit:]] > /tmp/short-auth-old.log chmod 644 /tmp/short-auth*
*/5 * * * * root /usr/local/bin/vycuc.sh &> /dev/null */5 * * * * root /usr/local/bin/banovator.sh &> /dev/null
banana_pi_m2u/banovator.1519044991.txt.gz · Poslední úprava: 2018/02/19 13:56 autor: chytrex
Nástroje pro stránku
Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: GNU Free Documentation License 1.3
