- fail2ban - общее решение, слежение и анализ журналов нужно проверить потребление ресурсов
- пакетный фильтр под каждый сервис linux, bsd - разные фильтры
- решение для непостоянно требуемого сервиса - открытие порта по требованию
http://www.opennet.ru/openforum/vsluhforumID3/60976.html#215 простейший portknock'ер работающий по icmp -A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT -A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT -A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT -A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT -A INPUT -p tcp --dport 22 -j DROP для того чтобы открыть 22 порт достаточно и необходимо ping -s 125 -c 1 адрес ping -s 126 -c 1 адрес ping -s 127 -c 1 адрес количество пакетов регулируется через --hitcount сами числа передаются через длину icmp-echo хорош тем что инструмен "стучания" обычно доступен
2011/10/24
Защита сетевого сервиса *nix от перебора пароля
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий