hosts.deny não está bloqueando endereços IP

Navegue suas respostas
2

Eu tenho o seguinte no meu arquivo /etc/hosts.deny 

#
# hosts.deny    This file describes the names of the hosts which are
#       *not* allowed to use the local INET services, as decided
#       by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!

ALL:ALL

e isso em /etc/hosts.allow 

#
# hosts.allow   This file describes the names of the hosts which are
#       allowed to use the local INET services, as decided
#       by the '/usr/sbin/tcpd' server.
#
ALL:xx.xx.xx.xx , xx.xx.xxx.xx , xx.xx.xxx.xxx , xx.x.xxx.xxx , xx.xxx.xxx.xxx

mas ainda recebo muitos desses e-mails: 

Time:     Thu Feb 10 13:39:55 2011 +0000
IP:       202.119.208.220 (CN/China/-)
Failures: 5 (sshd)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

Feb 10 13:39:52 ds-103 sshd[12566]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.119.208.220  user=root
Feb 10 13:39:52 ds-103 sshd[12567]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.119.208.220  user=root
Feb 10 13:39:52 ds-103 sshd[12568]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.119.208.220  user=root
Feb 10 13:39:52 ds-103 sshd[12571]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.119.208.220  user=root
Feb 10 13:39:53 ds-103 sshd[12575]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.119.208.220  user=root

o pior é que o csf está tentando bloquear automaticamente esses ip's quando tentam entrar, mas apesar de colocar ip's no arquivo csf.deny eles não são bloqueados

Então eu estou tentando bloquear todos os ip's com /etc/hosts.deny e permitir somente os ip's que eu uso com /etc/hosts.allow mas até agora parece não funcionar.

agora eu estou tendo que bloquear manualmente cada um com o iptables, eu preferiria bloquear automaticamente os hackers no caso de eu estar longe de um pc ou dormindo

    
por Jamie 10.02.2011 / 15:34

3 respostas

1

alterou os arquivos para isso e agora parece estar funcionando.

saberá em poucas horas se isso resolveu ou não 

#
# hosts.deny    This file describes the names of the hosts which are
#       *not* allowed to use the local INET services, as decided
#       by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
ALL: ALL

Parece que o cólon precisa de um espaço depois disso. 

#
# hosts.allow   This file describes the names of the hosts which are
#       allowed to use the local INET services, as decided
#       by the '/usr/sbin/tcpd' server.
ALL: xx.xxx.xx.xx , xx.xxx.xxx.xx , xx.xx.xxx.xxx , xx.x.xxx.xxx , xx.xxx.xxx.xxx
    
por 11.02.2011 / 10:25
0

tente definir o sshd deamon explicitamente em /etc/hosts.deny 

sshd: ALL

e em /etc/hosts.allow 

sshd: .example.com xxx.xxx.xxx.xxx

Isso sempre funciona para mim.

    
por 10.02.2011 / 16:14
0

Você também pode definir AllowUsers para seus usuários e IPs permitidos.

O que eu também faço para tornar minha vida mais fácil é iniciar um segundo sshd para conexões externas, ouvindo em uma porta diferente da porta padrão 22 para o ssh. Dessa forma, muitas tentativas nem chegam aos meus registros. Ele não melhora a segurança, alguns scripts podem varrer todas as portas e encontrar a real, mas a maioria apenas verifica a porta padrão 22. Dessa forma, meus arquivos de log não ficam cheios com esse ruído.

Eu também uso /etc/hosts.deny e /etc/hosts.allow para sshd, e funciona perfeitamente aqui. Esses arquivos no mundo do seu sistema podem ser lidos?

    
por 10.02.2011 / 16:24

Tags

ss falha de segmentação - como investigar? Melhor método para balanceamento de carga do amazon ec2