Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Intrusion Prevention System ?

Är det någon som känner till en bra Intrusion Prevention System, som helst går att få igång på Suse 8,1?

Jag har, emellanåt, problem med att någon bombar mig med försök att logga in på FTP-servern. För tillfället är det 43500 försök i rad, och jag börjar bli trött på det, och vill kunna blocka en IP-adress helt och hållet om den misslyckas med att logga in X gånger på Y tid.

Innan någon föreslår att jag uppgraderar servern vill jag påpeka att den är lastgammal: en 133MHz med 64 MB RAM, och det har ju gått ett och annat år sedan den var aktuell... Jag skulle självklart kunna byta hårdvaran, och det lär jag väl tvingas till så småningom, men jag fortsätter gärna använda den ett tag till, för den är helt tystgående: den står i mitt vardgasrum (mitt _enda_ rum) och hörs bara när hårddisken knattrar.

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

amelias bild

Det du letar efter är mer en IDS, Intrusion Detection System, men möjligheten att agera när någon/några regler uppfylls. Det givna alternativet för en IDS är såklart Snort som givetvis kan agera när någon specifik händelse inträffar. Snort kan dock vara ganska klurigt att ha att göra med och den första tröskeln man ska över innan man börjar komma in i det kan av många upplevas som väldigt hög.

I ditt fall handlar det bara om EN specifik tjänst och ett återkommande problem, frågan är om du inte kan göra något enklare isåfall. För att kanske komma med en lösning som är enklare än en IDS så är ju första frågan, använder du FTP-servern utifrån så att du måste ha den öppen för extern trafik? Nästa fråga är, vilken FTP-server gäller det och finns det möjligen redan en funktion för just detta du söker i programvaran? Något annat du kan fundera på är att kanske använda SSH/SFTP istället för vanlig FTP eftersom FTP är betydligt mer utsatt än SFTP och SSH är ändå öppet.

Förstår att mina förslag inte är det du har frågat efter specifikt, men de kanske kan hjälpa dig en bit på vägen iaf.

--

Amelia Nilsson 
Linuxchick, Unixtomte, IBM-fangirl, AS/400-munk, Ciscofrälst... o.s.v.
http://www.linuxchick.se

uffe_nordholms bild

Alla förslag är välkomna.

Servern i fråga är vsftpd, som jag mycket gärna har åtkomlig från nätet: det är egentligen den enda anledningen att vsftpd går på den över huvudtaget... Internt använder jag bara NFS för att komma åt filerna.

Just nu rör det sig främst om att spärra IP-adresser som misslyckats med att logga in X antal gånger på FTP-servern, men om samma IPS/IDS kan hantera tex HTTP och SSH också så vore det bra. Enkelt uttryckt: jag vill stänga ute de förbannade idioter som försöker komma åt min server utan att direkt veta vad de vill åt. Dock, de som surfar omkring på det magra utbud som finns via Apache skall inte stängas ute...

Jag skall kolla upp snort och se vad jag hittar och lär mig.

 

BTW så har samma IP-adress (från Kina) nu försökt logga in 46500 gånger, och inte lyckats med det.... Undrar hur länge de kommer att hålla på att testa med användarnamn som inte finns på servern.

amelias bild

Snort funkar för allt, gäller bara att bygga rätt regler. Dock kan det vara mycket krångligt att få ordning på alla regler man vill ha utan att råka stänga ut fel människor.

--

Amelia Nilsson 
Linuxchick, Unixtomte, IBM-fangirl, AS/400-munk, Ciscofrälst... o.s.v.
http://www.linuxchick.se

pluckers bild

En "enkel" lösning är att skriva ett skript som övervakar din loggfil och använder iptables till att blockerar ip-adresser (iptables -A INPUT -s <ip-adress> -j DROP). Jag känner till ett perl-skript som automatiserar detta för ssh, men det borde gå att anpassa det även för att hantera inloggningar på din FTP-server.

   http://www.pettingers.org/code/sshblack.html

/Micke