Os endereços IP negados em /etc/hosts.allow aparecem em /etc/csf/csf.deny?

Navegue suas respostas
3

Eu modifico meu arquivo /etc/hosts.allow como 

sshd : 192.168.0.0/255.255.255.0 : allow
sshd : xxx.xxx.xxx.* : allow
sshd : ALL : deny

(em que xxx representa meus números de endereço IP reais e o caractere curinga * representa o intervalo total 0-255), em seguida, reinicie o sshd e o servidor da web Apache. Eu assisto na semana seguinte, como endereços IP de países estrangeiros continuam a aparecer em /etc/csf/csf.deny . 

116.31.116.15 # lfd: (sshd) Failed SSH login from 116.31.116.15 (CN/China/-): 5 in the last 300 secs ...

A minha expectativa de que os endereços IP negados no arquivo hosts.allow não devem ser apresentados a uma tela de login para tentar efetuar login, e, portanto, as entradas no log csf.deny provam que meu arquivo hosts.allow não é fazendo o que eu quero?

Ou, estou sendo enganado pela mensagem de erro genérica ( 5 in the last 300 secs ) porque, na realidade, esses endereços IP não tentaram digitar um usuário e senha 5 vezes?

Meu objetivo é evitar que endereços IP não aprovados possam inserir um nome de usuário e senha. Como posso dizer que estou conseguindo isso ou não?

O que devo esperar que o arquivo csf.deny mostre quando seu IP é de fato negado?

    
por user46688 06.01.2017 / 05:24

1 resposta

2

csf.deny é usado pelo ConfigServer Firewall, e os IPs listados não poderão se conectar ao servidor.

Se um IP estiver no arquivo csf.deny , isso significa que ele está bloqueado no firewall do servidor em todas as portas e não será apresentado qualquer tela de login em nenhum dos serviços, pois nunca estabelecerá conexões com o servidor .

5 nos últimos 300 segundos, significa que eles falharam no processo de autenticação, o que os colocou na lista negra do CSF. Pode ser que eles tenham inserido credenciais erradas ou que não tenham recebido o prompt de login, se apenas as chaves SSH forem permitidas.

colocar o IP em hosts.allow permitirá que ele se conecte ao serviço que você especificou lá, mas eles ainda precisam inserir as credenciais corretas para se conectarem ao servidor.

IPs que não estão listados como permitidos devem ser apresentados com a seguinte mensagem: 

ssh_exchange_identification: Connection closed by remote host

Isso, creio eu, será tratado como um login com falha se eles tentarem se conectar ao SSH, qualquer um deles terminará em csf.deny se eles atingirem o limite de login com falha. Eles estabelecerão a conexão com a porta SSH, mas não conseguirão se autenticar devido à regra de negação, e o CSF a verá como um login com falha.

A melhor opção para bloquear o SSH para IPs não listados seria bloqueá-lo completamente no CSF, conforme descrito no final deste post.

Além do csf.deny, arquivos importantes também são csf.allow e csf.ignore .

csf.allow permitirá conexões do IP listado em qualquer porta de origem, para qualquer porta de destino.

csf.ignore ignorará quaisquer ações com falha do IP listado, ele não estará sujeito a limites em logins ou conexões com falha.

você pode remover o IP de csf.deny com csf -dr IP e colocar na lista de permissões em csf.allow com csf -a IP

Se você quiser bloquear completamente o SSH para IPs não pré-aprovados e quiser evitar que seu csf.deny cresça devido a logins SSH com falha, é possível bloquear completamente a porta SSH, 22 se você não tiver alterado, removendo-o da linha TCP_IN em csf.config .

Depois de alterar qualquer coisa em csf.config , você precisa reiniciar o CSF com csf -r para recarregar o arquivo de configuração.

Isso bloqueará a porta 22 para todos os IPs, exceto os IPs listados em csf.allow.

Ao remover a porta 22 do TCP_IN em csf.config e colocar seus IPs em csf.allow , você permitirá que apenas esses IPs se conectem à porta 22, qualquer outro IP não receberá nenhum login SSH, mas receberá mensagem esgotada ao tentar conectar-se ao SSH.

Se você colocar apenas o IP em csf.allow , ele será permitido em todas as portas, mas você poderá especificar uma única porta apenas com filtragem avançada de porta + ip.

Colocar isso em csf.allow permitirá conexões à porta 22 do IP, mesmo que a porta 22 não seja permitida em csf.config . 

tcp:in:d=22:s=x.x.x.x
    
por 06.01.2017 / 07:03

Tags

(Ubuntu 16.10) Como escolher / encorajar uma solução específica proposta pelo aptitude usando apenas argumentos de linha de comando? Por que o fail2ban está encontrando, mas não está proibindo?