-
#1
Hello all, I am having a problem with the lastest production release(7.1). When logging in through ssh, I am able to do it for the first few times, but then after that, my login keeps getting rejected with this error.
Code:
sshd[852]:error:pam:authentication error for illegal userI have added AllowUsers with the correct user to the sshd_config files and restarted the server several times, yet my login is still being rejected. Any ideas as to what could be causing this?
-
#2
Have you changed default password encryption algorithm (/etc/auth.conf and /etc/login.conf) recently? (i had some problems with pam in past, i think it was due to my hardening, but i’m not sure)
—-
I use public key authentication… works great btw.
http://forums.freebsd.org/showthread.php?t=1508
-
Thread Starter
-
#3
Nope, everything is default from a fresh install. It worked once or twice, then it just stopped
-
#4
mrfontana said:
When logging in through ssh, I am able to do it for the first few times, but then after that, my login keeps getting rejected with this error.
Do you mean it worked following initial installation but then stopped working, and has not worked since? Or do you mean it works sporadically, but only for a few tries, and then it stops working for awhile?
mrfontana said:
Code:
sshd[852]:error:pam:authentication error for illegal user
Is that the entire message from auth.log? What user are you trying to log in as? What sort of client software are you using?
-
Thread Starter
-
#5
I logged in like 3 times since the install, then it started and still does deny my login with the response to my client «Access Denied». I am using Putty as my client. The exact message I am getting from the auth.log is:
Code:
Invalid user bob from 192.168.1.50
error:PAM:authentication for illegal-user bob from windows-machine-name
Failed keyboard-interactive/pam for invalid user from 192.168.1.50 port 2982 ssh2bob is the user I am trying to login with. It’s a member of wheel if that helps.
-
#6
I’d be curious to see the output from a couple commands:
# egrep -i ‘allow|deny’ /etc/ssh/sshd_config
# grep ‘bob’ /etc/passwd
(I am also assuming you’ve reloaded or restarted sshd following and config file changes.)
-
#7
anomie said:
I’d be curious to see the output from a couple commands:
Agreed. An invalid user is an invalid user. Here are some SSH hammer attempts from my auth.log:
Code:
Feb 5 21:41:27 Invalid user james from 208.96.162.136
Feb 5 21:41:28 Invalid user austin from 208.96.162.136
Feb 5 21:41:29 Invalid user jackson from 208.96.162.136
Feb 5 21:41:30 Invalid user justin from 208.96.162.136
Feb 5 21:41:31 Invalid user brandon from 208.96.162.136
Feb 5 21:41:32 Invalid user john from 208.96.162.136
-
Thread Starter
-
#8
Absolutely right. I ran the command and found out the user was bob1 and I had added bob to the AllowUsers. Thanks for the help and sorry for wasting everyone’s time with my noob mistake.
-
#9
small things make big difference
-
#10
mrfontana said:
Thanks for the help and sorry for wasting everyone’s time with my noob mistake.
I think most normal people associated with BSD are here to help and so no apologies are needed, but ya need to give props to anomie for helping ya with those grep statements.
-
Thread Starter
-
#11
Yeah, big thanks to Anomie, those statements wrapped it up pretty quick. Great work. I am going to still checkout that guide for using keys, thanks to killasmurf86 as well.
-
#12
[ Warning: bad and unsafe advice follows. — Mod. ]
To enable SSH on FreeBSD
# vi /etc/ssh/sshd_config
Code:
PermitRootLogin no----> yes :wq
# /etc/rc.d/sshd restart
-
#13
1) You’re replying to a 3 year old thread
2) Your advice is dangerous unless your network is properly isolated from the hostile internet, do not enable ssh root login unless there’s a good reason to.
-
#14
This thread is the top result on Google when searching for FreeBSD & «error: PAM: Authentication error for illegal user»
That error is also reported if the user’s shell has been removed from the system but the user attempts to ssh to the host ( resolved by reinstalling that users shell on the host, or altering their shell to an alternate that is installed ).
Содержание
- sshd log contains «pam_unix authentication failure» [closed]
- 1 Answer 1
- SSH: PAM authentication error for myuser from IP
- soulviasound
- mamalos
- soulviasound
- soulviasound
- AlexJ
- mamalos
- soulviasound
- soulviasound
- soulviasound
- Solved [Solved] sshd Error messages
- selhan
- wblock@
- selhan
- junovitch@
- selhan
- kusanagiyang
- Phishfry
- unixforum.org
- Не могу залогинится по ssh никем кроме root
- Не могу залогинится по ssh никем кроме root
- Re: Не могу залогинится по ssh никем кроме root
- Re: Не могу залогинится по ssh никем кроме root
- Re: Не могу залогинится по ssh никем кроме root
- Re: Не могу залогинится по ssh никем кроме root
- Re: Не могу залогинится по ssh никем кроме root
- Re: Не могу залогинится по ssh никем кроме root
- Re: Не могу залогинится по ssh никем кроме root
- Contact US
- Come Join Us!
- Posting Guidelines
- PAM Authentication Failing
- PAM Authentication Failing
- PAM Authentication Failing
- Quote:
- Quote:
- RE: PAM Authentication Failing
- RE: PAM Authentication Failing
- RE: PAM Authentication Failing
- RE: PAM Authentication Failing
- RE: PAM Authentication Failing
- RE: PAM Authentication Failing
- RE: PAM Authentication Failing
- Red Flag Submitted
- Reply To This Thread
- Posting in the Tek-Tips forums is a member-only feature.
sshd log contains «pam_unix authentication failure» [closed]
Want to improve this question? Add details and clarify the problem by editing this post.
Closed 4 years ago .
I am getting the following error messages in my Linux machine.
this happens often and my log is full of this error message. How to overcome this issue?
1 Answer 1
Someone is trying to brute-force the password for your root user.
(It doesn’t matter if password login is prohibited for it — they can still try, they’ll just fail every time.)
You normally won’t want to suppress these log messages; they can be useful information when someone does manage to break into your system at some point.
(Though you’ll need append-only off-site backups of the log to be safe in that case.)
You can use a log aggregation system (like Logstash or Graylog) to filter off these messages into a different view to deal with them separately, or you can grep -v ‘[Aa]uthentication failure]’ /var/log/syslog | less to filter them out when manually viewing the log.
You can also report the brute-force attempts to the operator of the source system, but that’s usually tilting at windmills.
(Note that you’re seeing the private network address of your NAT gateway (172.16.2.1), so you’ll need to check the gateway for the actual external address.)
The usual mitigations are just pre-filtering and obfuscation:
Make sure password-based login for the root user is disabled in your /etc/ssh/sshd_config :
Источник
SSH: PAM authentication error for myuser from IP
soulviasound
I have a problem and can’t figure out how to resolve:
I just installed a FreeBSD 8.3 on virtualbox with bridge option as network adapter and I get this message when I try to connect to machine via SSH from a local network machine, I get this message:
But when I try to connect via SSH directly from machine, everything work great.
Right now /etc/ssh/sshd_conf is in the default state, but I have tried to enable:
without any succes. So I have revert to default.
mamalos
soulviasound
Thank you for reply mamlos,
Since the FreeBSD (guest) machine work on a bridge adaptor, it have it’s own IP (in this case 192.168.178.28), so I’m sure and I also don’t run any SSH server on host (would refuse connection).
In fact when I said a «from local network machine», I refereed to the HOST terminal.
ifconfig for HOST (OSX):
ifconfig for guest (FreeBSD):
soulviasound
AlexJ
mamalos
The error message comes from /var/log/auth.log of FreeBSD? If not, what are the error messages of this file? Are you sure you’re using correct username and or password for testuser? There is no good reason why an ssh connection should work for some network nodes and not work for others, unless it’s a firewall issue. But since you’re connecting to the machines ssh port, then it can’t be that.
Lastly, have you tried a NATed configuration with port redirection to see if that works?
soulviasound
I found the problem, but still with have some questions.
The password contained «(» character and I use a german layout keyboard. I changed to a simple password and it worked. Even so, in my OSX terminal I see exactly what I type, I tried to type the password in a non hide field and it’s ok. OSX terminal shouldn’t send exactly what I see ? I manage another Free BSD server with same keyboard, same terminal and it worked great.
I tried different keyboard layouts on the problematic Free BSD (even it doesn’t make sense), same error.
Any ideea ? It’s there a «Follow system keyboard layout» option for SSH ?
Thank’s for help.
soulviasound
I want to mention that I have tested the password with others SSH clients, SSH app for iOS and Putty: same problem.
I even changed the keyboards layouts on SSH client. Same error.
soulviasound
Sorry for multi post. I don’t see any edit button.
And what it’s stranger. When I type the password directly on server (not remote), it worked even if I change the FreeBSD keyboard layout.
Источник
Solved [Solved] sshd Error messages
selhan
Can anyone explain to me why I’m finding this error messages on my server every day, and how can I get rid of this? please.
wblock@
Re: Error messages
People, or rather, bots, are trying to log in to your server by guessing account names. Please make sure that root login by sshd() is not allowed, and it is recommended to only allow login with an SSH key instead of passwords. Many people run security/sshguard to limit these attacks.
selhan
Re: Error messages
Really bad news, I didn’t expect to be under attack.
Could you please confirm if the two suggestions that you just told me are done by:
junovitch@
Re: Error messages
In /etc/ssh/sshd_config, everything that is commented by default reflects the default settings. You don’t need to uncomment this below because it already is disabled.
selhan
Re: Error messages
Splendid, Thank you!
kusanagiyang
Phishfry
It sounds like your commercial router does not have a firewall. You need to block port 22 otherwise people will be trying to guess their way in.
You should also consider either security/sshguard or security/denyhosts along with tuning your sshd_config.
Moving the SSH port and key based authentication is advised.
Источник
unixforum.org
Форум для пользователей UNIX-подобных систем
- Темы без ответов
- Активные темы
- Поиск
- Статус форума
Не могу залогинится по ssh никем кроме root
Модератор: arachnid
Не могу залогинится по ssh никем кроме root
Сообщение vintyara » 09.02.2009 00:09
Поставил фрю для повышения самоквалификации 
Ну и первым делом добавил себе пользователя, с группой wheel и начал настраивать веб и фтп сервер.
Все было нормально до след. дня, когда я попытался залогинится по ssh на свою фрю Оно меня не пустило Пришлось подключать клаву и моник для того, чтобы залогинится рутом и посмотреть логи. А в логах примерно такое —
Feb 8 20:59:03 server sshd[54757]: error: PAM: authentication error for illegal user vint from localhost
Feb 8 20:59:03 server sshd[54760]: login_getclass: unknown class ‘0’
Что это может быть и как это бороть?
Re: Не могу залогинится по ssh никем кроме root
Сообщение psyshit » 09.02.2009 00:39
Re: Не могу залогинится по ssh никем кроме root
# egrep -i «allow|deny» /etc/ssh/sshd_config
После любых изменений в данном файле очень желательно сделать reload или restart для sshd.
P.S. И все это goO OOogle.
Re: Не могу залогинится по ssh никем кроме root
Сообщение vintyara » 09.02.2009 11:29
# egrep -i «allow|deny» /etc/ssh/sshd_config
После любых изменений в данном файле очень желательно сделать reload или restart для sshd.
P.S. И все это goO OOogle.
]# egrep -i «allow|deny» /etc/ssh/sshd_config
# be allowed through the ChallengeResponseAuthentication and
#AllowAgentForwarding yes
#AllowTcpForwarding yes
# AllowTcpForwarding no
гугл мне не помог 
]# cat /etc/ssh/sshd_config | grep AllowUsers
[root@server
Если и стоит запрет на ip — то откуда он взялся ? Ибо изначально работало, на след. день перестало.
Re: Не могу залогинится по ssh никем кроме root
Сообщение arachnid » 09.02.2009 11:34
Re: Не могу залогинится по ssh никем кроме root
Сообщение vintyara » 09.02.2009 12:28
]# adduser
Username: baraban
Full name:
Uid (Leave empty for default):
Login group [baraban]:
Login group is baraban. Invite baraban into other groups? []:
Login class [default]:
Shell (sh csh tcsh zsh bash rbash nologin) [sh]: bash
Home directory [/home/baraban]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : baraban
Password : *****
Full Name :
Uid : 1009
Class :
Groups : baraban
Home : /home/baraban
Home Mode :
Shell : /usr/local/bin/bash
Locked : no
OK? (yes/no): yes
pwd_mkdb: warning, unknown root shell
pwd_mkdb: warning, unknown root shell
adduser: INFO: Successfully added (baraban) to the user database.
Add another user? (yes/no): no
Goodbye!
[root@server
]# ssh localhost -l baraban
Password:
Password:
Password:
server sshd[56750]: error: PAM: authentication error for illegal user baraban from localhost
Re: Не могу залогинится по ssh никем кроме root
Сообщение arachnid » 09.02.2009 12:40
проверьте, если у вас баш. при своем правильном существовании ругани быть не должно.
в качестве дополнения — для упрощения работы можно сруза на этапе создания пользовтеля доавлять его в группу wheel — когда предлагают
Re: Не могу залогинится по ssh никем кроме root
Сообщение xtty » 09.02.2009 14:08
Источник
Thanks. We have received your request and will respond promptly.
Come Join Us!
- Talk With Other Members
- Be Notified Of Responses
To Your Posts - Keyword Search
- One-Click Access To Your
Favorite Forums - Automated Signatures
On Your Posts - Best Of All, It’s Free!
Posting Guidelines
Promoting, selling, recruiting, coursework and thesis posting is forbidden.
PAM Authentication Failing
PAM Authentication Failing
PAM Authentication Failing
I’m not really a Server Admin, but have been tasked to get this done.
Long story short, The Development server we connect to is a Centos 5.5 that authenticates users via a domain server that no longer exists.
The users don’t really exist on the dev server. There’s nothing for them in the passwd file or the shadow file.
I get the following errors in the secure log because it can no longer contact it:
Quote:
Jan 29 17:01:17 localhost sshd[3616]: Invalid user *username* from 192.168.0.206
Jan 29 17:01:27 localhost sshd[3617]: input_userauth_request: invalid user *username*
Jan 29 17:01:32 localhost sshd[3616]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 17:01:32 localhost sshd[3616]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.206
Jan 29 17:01:32 localhost sshd[3616]: pam_succeed_if(sshd:auth): error retrieving information about user *username*
Jan 29 17:01:34 localhost sshd[3616]: Failed password for invalid user *username* from 192.168.0.206 port 40453 ssh2
Jan 29 17:01:56 localhost sshd[3616]: pam_unix(sshd:auth): check pass; user unknown
Jan 29 17:01:56 localhost sshd[3616]: pam_succeed_if(sshd:auth): error retrieving information about user *username*
Jan 29 17:01:58 localhost sshd[3616]: Failed password for invalid user *username* from 192.168.0.206 port 40453 ssh2
Jan 29 17:02:00 localhost sshd[3617]: Connection closed by 192.168.0.206
I tried creating a local user using useradd.
Quote:
For this reason only the Root user can log in to the server. Everybody else gets an access denied.
As You can see I attempted to change the password for the user I created locally to see if it would validate, but it keeps saying the password is wrong.
What I really want to do is recreate the users locally so they no longer have to be validated through the external authentication server.
Anyway to do this? Am I making any sense?
I hope someone can help.
The real question is is there a way to create local users that can authenticate
———————————-
Phil AKA Vacunita
———————————-
Ignorance is not necessarily Bliss, case in point:
Unknown has caused an Unknown Error on Unknown and must be shutdown to prevent damage to Unknown.
RE: PAM Authentication Failing
Depends on what was used to connect the machine to the Active Directory domain initially. The error messages suggest WinBind
Indifference will be the downfall of mankind, but who cares?
Time flies like an arrow, however, fruit flies like a banana.
Webmaster Forum
RE: PAM Authentication Failing
From what I can find it is using Winbind. wbinfo -D servname gives me some details of the server being used.
———————————-
Phil AKA Vacunita
———————————-
Ignorance is not necessarily Bliss, case in point:
Unknown has caused an Unknown Error on Unknown and must be shutdown to prevent damage to Unknown.
RE: PAM Authentication Failing
———————————-
Phil AKA Vacunita
———————————-
Ignorance is not necessarily Bliss, case in point:
Unknown has caused an Unknown Error on Unknown and must be shutdown to prevent damage to Unknown.
RE: PAM Authentication Failing
I need to be able to remove the winbind authentication, and only use local authentication. Does anyone know how to accomplish this?
———————————-
Phil AKA Vacunita
———————————-
Ignorance is not necessarily Bliss, case in point:
Unknown has caused an Unknown Error on Unknown and must be shutdown to prevent damage to Unknown.
RE: PAM Authentication Failing
I don’t have an AD system to test on but,
should be the command line for breaking the Active Directory ‘join’.
Indifference will be the downfall of mankind, but who cares?
Time flies like an arrow, however, fruit flies like a banana.
Webmaster Forum
RE: PAM Authentication Failing
Thanks foir that, but when I try to use that command I get this error:
Failed to leave domain: failed to find DC for domain serverName.com
Any other ideas?
———————————-
Phil AKA Vacunita
———————————-
Ignorance is not necessarily Bliss, case in point:
Unknown has caused an Unknown Error on Unknown and must be shutdown to prevent damage to Unknown.
RE: PAM Authentication Failing
Had to use the authconfig-tui tool to set authentication back to the shadow file and remvoe the authenitcation through ldap and winbind. Then just had to add the users and give them bash access. Same user names, so kept access ot the home folders and paths.
———————————-
Phil AKA Vacunita
———————————-
Ignorance is not necessarily Bliss, case in point:
Unknown has caused an Unknown Error on Unknown and must be shutdown to prevent damage to Unknown.
Red Flag Submitted
Thank you for helping keep Tek-Tips Forums free from inappropriate posts.
The Tek-Tips staff will check this out and take appropriate action.
Reply To This Thread
Posting in the Tek-Tips forums is a member-only feature.
Click Here to join Tek-Tips and talk with other members! Already a Member? Login
Источник
Модератор: arachnid
-
vintyara
- Сообщения: 71
- ОС: FreeBSD
-
Контактная информация:
Не могу залогинится по ssh никем кроме root
Поставил фрю для повышения самоквалификации Ну и первым делом добавил себе пользователя, с группой wheel и начал настраивать веб и фтп сервер.
Все было нормально до след. дня, когда я попытался залогинится по ssh на свою фрю Оно меня не пустило Пришлось подключать клаву и моник для того, чтобы залогинится рутом и посмотреть логи. А в логах примерно такое —
Feb 8 20:59:03 server sshd[54757]: error: PAM: authentication error for illegal user vint from localhost
Feb 8 20:59:03 server sshd[54760]: login_getclass: unknown class ‘0’
Что это может быть и как это бороть?
-
vintyara
- Сообщения: 71
- ОС: FreeBSD
- Контактная информация:
Re: Не могу залогинится по ssh никем кроме root
Сообщение
vintyara » 09.02.2009 11:29
Mage-Warrior писал(а): ↑
09.02.2009 08:51
# egrep -i «allow|deny» /etc/ssh/sshd_config
После любых изменений в данном файле очень желательно сделать reload или restart для sshd.P.S. И все это goOOOogle.
[root@server ~]# egrep -i «allow|deny» /etc/ssh/sshd_config
# be allowed through the ChallengeResponseAuthentication and
#AllowAgentForwarding yes
#AllowTcpForwarding yes
# AllowTcpForwarding no
гугл мне не помог
psyshit писал(а): ↑
09.02.2009 00:39
в sshd_config файерволл стоит? ( строки AllowUsers ), может там запрет стоит на твой удаленный ип
[root@server ~]# cat /etc/ssh/sshd_config | grep AllowUsers
[root@server ~]#
Если и стоит запрет на ip — то откуда он взялся ? Ибо изначально работало, на след. день перестало.
-
vintyara
- Сообщения: 71
- ОС: FreeBSD
-
Контактная информация:
Re: Не могу залогинится по ssh никем кроме root
Сообщение
vintyara » 09.02.2009 12:28
[root@server ~]# adduser
Username: baraban
Full name:
Uid (Leave empty for default):
Login group [baraban]:
Login group is baraban. Invite baraban into other groups? []:
Login class [default]:
Shell (sh csh tcsh zsh bash rbash nologin) [sh]: bash
Home directory [/home/baraban]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : baraban
Password : *****
Full Name :
Uid : 1009
Class :
Groups : baraban
Home : /home/baraban
Home Mode :
Shell : /usr/local/bin/bash
Locked : no
OK? (yes/no): yes
pwd_mkdb: warning, unknown root shell
pwd_mkdb: warning, unknown root shell
adduser: INFO: Successfully added (baraban) to the user database.
Add another user? (yes/no): no
Goodbye!
[root@server ~]# ssh localhost -l baraban
Password:
Password:
Password:
в логах:
server sshd[56750]: error: PAM: authentication error for illegal user baraban from localhost
-
arachnid
- Модератор
- Сообщения: 1099
- ОС: freeBSD
Re: Не могу залогинится по ssh никем кроме root
Сообщение
arachnid » 09.02.2009 12:40
проверьте, если у вас баш. при своем правильном существовании ругани быть не должно.
в качестве дополнения — для упрощения работы можно сруза на этапе создания пользовтеля доавлять его в группу wheel — когда предлагают
Код: Выделить всё
login group is baraban. Invite baraban into other groups? []:-= freeBSD stable, fluxbox =-
«если ты будешь со мной спорить, я тебя запишу в книжечку!» (с) Ежик
-
vintyara
- Сообщения: 71
- ОС: FreeBSD
- Контактная информация:
Re: Не могу залогинится по ssh никем кроме root
Сообщение
vintyara » 09.02.2009 23:37
arachnid писал(а): ↑
09.02.2009 12:40
проверьте, если у вас баш. при своем правильном существовании ругани быть не должно.
в качестве дополнения — для упрощения работы можно сруза на этапе создания пользовтеля доавлять его в группу wheel — когда предлагают
Код: Выделить всё
login group is baraban. Invite baraban into other groups? []:
Баш есть. Логинюсь же, и таки башевская консоль.
Wheel — добавлял при создании юзера.
-
vintyara
- Сообщения: 71
- ОС: FreeBSD
- Контактная информация:
-
murder
- Сообщения: 219
- ОС: FreeBSD 8.0, Ubuntu 9.10
Re: Не могу залогинится по ssh никем кроме root
Сообщение
murder » 14.02.2009 21:48
У меня такое постоянно в логах пролетает на 2 серваках. Началось после обновления с 6 ветки на 7-ю. login.conf и login.access копировал прям с другой машины — не помогало. Потом одну машину до 7.1 поднял — проблема исчезла, щас вот надо вторую до 7.1…
-//- Реальная смерть приходит с косой, а виртуальная с пассатижами -//-
-
Trojan
- Сообщения: 359
- Статус: Системный ламер
- ОС: CentOS 7
Re: Не могу залогинится по ssh никем кроме root
Сообщение
Trojan » 05.03.2009 00:01
У меня проблема противоположная. Во время установки выбрал опцию SSH Login и создал пользователя trojan.
Так вот под trojan‘ом севрер пускает а под рутом нет.
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
-
arachnid
- Модератор
- Сообщения: 1099
- ОС: freeBSD
Re: Не могу залогинится по ssh никем кроме root
Сообщение
arachnid » 05.03.2009 15:52
Trojan писал(а): ↑
05.03.2009 15:36
ivan2ksusr писал(а): ↑
05.03.2009 10:50
Дык, по умолчанию вход по ssh для пользователя root отключен
Включается здесь /etc/ssh/sshd.conf ?
э… а зачем?
если вам все равно за безопасность, то здесь /etc/ssh/sshd_config
-= freeBSD stable, fluxbox =-
«если ты будешь со мной спорить, я тебя запишу в книжечку!» (с) Ежик
-
ivan2ksusr
- Сообщения: 882
- ОС: Mac OS X, openSUSE
- Контактная информация:
Re: Не могу залогинится по ssh никем кроме root
Сообщение
ivan2ksusr » 05.03.2009 16:43
arachnid писал(а): ↑
05.03.2009 15:52
Trojan писал(а): ↑
05.03.2009 15:36
ivan2ksusr писал(а): ↑
05.03.2009 10:50
Дык, по умолчанию вход по ssh для пользователя root отключен
Включается здесь /etc/ssh/sshd.conf ?
э… а зачем?
если вам все равно за безопасность, то здесь /etc/ssh/sshd_config
# Are root logins permitted using sshd.
# Note that sshd uses pam_authenticate(3PAM) so the root (or any other) user
# maybe denied access by a PAM module regardless of this setting.
# Valid options are yes, without-password, no.
PermitRootLogin no
в вашем случае надо поставить значение yes
Удачи
-
Trojan
- Сообщения: 359
- Статус: Системный ламер
- ОС: CentOS 7
Re: Не могу залогинится по ssh никем кроме root
Сообщение
Trojan » 06.03.2009 22:34
arachnid писал(а): ↑
05.03.2009 15:52
если вам все равно за безопасность, то здесь /etc/ssh/sshd_config
ivan2ksusr писал(а): ↑
05.03.2009 16:43
# Are root logins permitted using sshd.
# Note that sshd uses pam_authenticate(3PAM) so the root (or any other) user
# maybe denied access by a PAM module regardless of this setting.
# Valid options are yes, without-password, no.
PermitRootLogin noв вашем случае надо поставить значение yes
Удачи
Открыл /etc/ssh/sshd_config там строки PermitRootLogin не было.
Добавил PermitRootLogin yes, но все равно доступ запрещен.
Может в другом файле это надо прописывать?
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
-
Maestro
- Сообщения: 227
- Статус: ипэшник
- ОС: FreeBSD-6.2 STABLE
- Контактная информация:
Re: Не могу залогинится по ssh никем кроме root
Сообщение
Maestro » 07.03.2009 00:31
Trojan писал(а): ↑
06.03.2009 23:04
arachnid писал(а): ↑
06.03.2009 23:02
а сервис перезапускали?
Я даже полностью машину рестартил.
И все равно не пускает.
Не надо тебе под рутом коннектиться, есть команда su — логинишься под Трояном, пишешь su, набираешь пароль рута и работаешь под рутом.
дайте денег на обновление портов 
-
Trojan
- Сообщения: 359
- Статус: Системный ламер
- ОС: CentOS 7
Re: Не могу залогинится по ssh никем кроме root
Сообщение
Trojan » 09.03.2009 05:56
Maestro писал(а): ↑
07.03.2009 00:31
Не надо тебе под рутом коннектиться, есть команда su — логинишься под Трояном, пишешь su, набираешь пароль рута и работаешь под рутом.
Это конечно тоже вариант, просто люди ведь как то все таки логинятся под рутом.
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
Здравствуйте
У меня такая проблема, не могу зайти по ssh на свой роутер под
определенным ником «seradmin».
С утра работал все нормально, а потом после обеда пытался зайти и все
кердык, не пускает.
Использую программу putty
Вот что пишет
Код: Выделить всё
> login as: seradmin
> Privet
> Vi zahodite na router DreamDay. Ono vam nado?
>
> Using keyboard-interactive authentication.
> Password:
> Access denied
> Using keyboard-interactive authentication.
> Password:
Зашел на роутер с другого ника
нашел в /var/log/messages такие строчки
Код: Выделить всё
> Apr 15 11:15:57 DreamDay su: seradmin to root on /dev/ttyp0
Эта строчка показывает, что я мог зайти на роутер :-)
> Apr 15 12:43:16 DreamDay sshd[41887]: fatal: login_init_entry: Cannot find user "seradmin"
> Apr 15 12:43:16 DreamDay sshd[41887]: fatal: login_init_entry: Cannot find user "seradmin"
> Apr 15 12:43:16 DreamDay sshd[41890]: fatal: mm_request_send: write: Broken pipe
> Apr 15 12:52:24 DreamDay sshd[42420]: error: PAM: authentication error for illegal user seradmin from
> Apr 15 12:52:41 DreamDay last message repeated 3 times
> Apr 15 12:53:18 DreamDay sshd[42427]: error: PAM: authentication error for illegal user seradmin from
> Apr 15 12:53:54 DreamDay last message repeated 6 times
> Apr 15 12:54:24 DreamDay sshd[42436]: error: PAM: authentication error for root from
> Apr 15 12:54:48 DreamDay last message repeated 6 times
другой ник, с которго зашел, не входит в группу wheel, соответственно
не может быть суперпользователем и ввести новый пароль для seradmin я
не могу.
Вот конфиг /etc/ssh/sshd_config
Код: Выделить всё
> #VersionAddendum FreeBSD-20061110
>
> Port 22
> Port 2222
> Protocol 2
> #AddressFamily any
> #ListenAddress 0.0.0.0
> #ListenAddress ::
>
> # Данные значения определяют длину ключа сервера и его время жизни для
> # использования ssh версии 1(данный ключ будет заново генерироваться через# заданное время)
> # Lifetime and size of ephemeral version 1 server key
> #KeyRegenerationInterval 1h
> #ServerKeyBits 768
>
> # Logging
> # obsoletes QuietMode and FascistLogging
> #SyslogFacility AUTH
> #LogLevel INFO
>
> # Authentication:
>
> # Сервер отсоединяется по происшествии данного времени, если клиент
> # не проходит аутентификацию
> LoginGraceTime 5m
>
> # Запрещаем заходить по ssh руту.
> PermitRootLogin no
>
> # Проверка sshd прав доступа и владельцев домашних каталогов. Полезно для тех
> # пользователей, что дают права всему 0777. Хотя таких болванов лучше держать на
> # расстоянии от сервера
> StrictModes yes
>
> #RSAAuthentication yes
> #PubkeyAuthentication yes
> #AuthorizedKeysFile .ssh/authorized_keys
>
> # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
> #RhostsRSAAuthentication no
> # similar for protocol version 2
> #HostbasedAuthentication no
> # Change to yes if you don't trust ~/.ssh/known_hosts for
> # RhostsRSAAuthentication and HostbasedAuthentication
> #IgnoreUserKnownHosts no
> # Don't read the user's ~/.rhosts and ~/.shosts files
> #IgnoreRhosts yes
>
> # Change to yes to enable built-in password authentication.
> # Чтобы запретить посылку хешей паролей через туннель ssh задайте значение
> # данной опции no. По умолчанию аутентификация по паролю разрешена
> PasswordAuthentication yes
>
> # Можно также разрешить пустые пароли, но это полный отстой, т.к. это огромная
> # дыра на сервере, через которую можно наделать много гадостей! Поэтому должно
> # быть no(по умолчанию)
> PermitEmptyPasswords no
>
> # Change to no to disable PAM authentication
> #ChallengeResponseAuthentication yes
> # Set this to 'no' to disable PAM authentication, account processing,
> # and session processing. If this is enabled, PAM authentication will
> # be allowed through the ChallengeResponseAuthentication and
> # PasswordAuthentication. Depending on your PAM configuration,
> # PAM authentication via ChallengeResponseAuthentication may bypass
> # the setting of "PermitRootLogin without-password".
> # If you just want the PAM account and session checks to run without
> # PAM authentication, then enable this but set PasswordAuthentication
> # and ChallengeResponseAuthentication to 'no'.
> #UsePAM yes
>
> # При логине пользователя выводим /etc/motd: в некоторых системах это отменено в
> # целях безопасности
> PrintMotd no
>
> # Сообщаем пользователю время и место последнего логина
> PrintLastLog yes
>
> # Посылать клиенту сообщения о доступности
> TCPKeepAlive yes
>
> UseDNS no
> #PidFile /var/run/sshd.pid
>
> # Максимальное число возможных соединений, где не произошло аутентификации. Если
> # клиентов, не прошедших аутентификацию больше, то новые соединения не будут
> # обрабатываться
> MaxStartups 10
>
> # no default banner path
> # Путь к файлу, который будет отображаться при входе клиента ДО аутентификации
> Banner /etc/ssh/ssh_message
>
> # override default of no subsystems
> Subsystem sftp /usr/libexec/sftp-server
>
Некоторые закоменченные строчки удалил, чтобы не засорять и легче
читать было.
ОС FreeBSD 6.2
Помогите, если можете, пожалуйста. Я свой роутер повесил в ящике под потолком в общем тамбуре и лезть доставать его, чтобы подключиться
локально, тоже неохота. Да и просто надо разобраться в происшедшем на будущее. Такое ощущение, что просто изменился пароль. Такое может
быть? Интернет работает нормально, тут претензий нет. Даже и не знаю, что
еще сообщить. Пользователь, под которым все-таки заходит на сервер, не имеет никаких прав 
.
Несанкционированная попытка ssh-авторизации на сервере.
Приветствую всех. столкнулся с проблемой, что кто-то хочет подключиться по ssh к моему серверу. Привожу то, что мне пишется в auth.log:
Apr 8 10:00:47 Billing sshd[46829]: Invalid user admin from 216.245.193.170
Apr 8 10:00:47 Billing sshd[46829]: error: PAM: authentication error for illegal user admin from web.sconed.com
Apr 8 10:00:47 Billing sshd[46829]: Failed keyboard-interactive/pam for invalid user admin from 216.245.193.170 port 56544 ssh2
Apr 8 10:01:46 Billing sshd[46832]: reverse mapping checking getaddrinfo for 64-130-221-193.static-ip.ravand.ca [64.130.221.193] failed — POSSIBLE BREAK-IN ATTEMPT!
Apr 8 10:01:46 Billing sshd[46832]: Invalid user admin from 64.130.221.193
Apr 8 10:01:46 Billing sshd[46832]: error: PAM: authentication error for illegal user admin from 64.130.221.193
Apr 8 10:01:46 Billing sshd[46832]: Failed keyboard-interactive/pam for invalid user admin from 64.130.221.193 port 42477 ssh2
Apr 8 10:01:52 Billing sshd[46835]: Invalid user admin from 91.199.73.24
Apr 8 10:01:52 Billing sshd[46835]: error: PAM: authentication error for illegal user admin from mail.cyh.com.tr
Apr 8 10:01:52 Billing sshd[46835]: Failed keyboard-interactive/pam for invalid user admin from 91.199.73.24 port 44700 ssh2
Apr 8 10:02:12 Billing sshd[46838]: Invalid user admin from 67.18.18.210
Apr 8 10:02:12 Billing sshd[46838]: error: PAM: authentication error for illegal user admin from d2.12.1243.static.theplanet.com
Apr 8 10:02:12 Billing sshd[46838]: Failed keyboard-interactive/pam for invalid user admin from 67.18.18.210 port 46188 ssh2
Apr 8 10:02:51 Billing sshd[46852]: Invalid user admin from 212.235.44.138
Apr 8 10:02:51 Billing sshd[46852]: error: PAM: authentication error for illegal user admin from dsl212-235-44-138.bb.netvision.net.il
Apr 8 10:02:51 Billing sshd[46852]: Failed keyboard-interactive/pam for invalid user admin from 212.235.44.138 port 58939 ssh2
Apr 8 10:03:21 Billing sshd[46859]: Invalid user admin from 200.140.159.133
Apr 8 10:03:21 Billing sshd[46859]: error: PAM: authentication error for illegal user admin from webmail.sistemafieg.org.br
Apr 8 10:03:21 Billing sshd[46859]: Failed keyboard-interactive/pam for invalid user admin from 200.140.159.133 port 50383 ssh2
Apr 8 10:03:45 Billing sshd[46862]: Invalid user admin from 216.45.58.210
Подскажите, как с этим бороться? Я конечно понимаю, что самый простой выход — поставить километровые пароли, но пока мне это не возможно.
Заранее благодарен всем.
ЗЫ. Закрыть внешний ssh нельзя.
.ı|ı..ı|ı.
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
-
- Сайт
- ICQ
Re: Несанкционированная попытка ssh-авторизации на сервере.
MadMax » 08 апр 2009, 12:32
ЗЫ. Закрыть внешний ssh нельзя.
т.е. вариант с «прибиванием» в файр адресов с которых доступен 22 порт не катит?
Можно посмотреть в сторону knocking утилит. Их принцип — слушать на заданных портах и при обнаружении пакета на них (обычно их количество и последовательность настраиваются) выполнять определённые действия. В твоём случае это может быть открытие 22 порта.
вот пара примеров
/usr/ports/security/doorman
/usr/ports/security/knock
есть утилиты которые блокируют доступ к 22 порту ip-адресам с которых производятся брутфорс атаки. Настраивать надо с осторожностью, чтобы не переборщить и не закрыть всё для всех наглухо 
А вот ещё одна альтернатива —
http://shimmer.sourceforge.net/
Последний раз редактировалось MadMax 08 апр 2009, 12:37, всего редактировалось 1 раз.
- MadMax
- Site Admin
- Сообщения: 37
- Зарегистрирован: 09 июл 2008, 15:39
- Откуда: Moscow
-
- Сайт
Re: Несанкционированная попытка ssh-авторизации на сервере.
root » 08 апр 2009, 12:35
это просто сканы из инета, а потом попытка подобрать по файлу с логинами+паролями пароль
в основном таким бот машины занимаются
Андрей писал(а):Подскажите, как с этим бороться?
ну методов масса
1. сменить порт для SSH, например на 2222
2. закрыть SSH фаиром и подключаться к серверу путем соездания PPTP туннеля, а потом уже к SSH стучаться
3.
http://www.opennet.ru/tips/info/934.shtml
4.
- Код: Выделить всё
Port: portsentry-1.2
Path: /usr/ports/security/portsentry
Info: Port scan detection and active defense
5.
- Код: Выделить всё
Port: bruteblock-0.0.5_1
Path: /usr/ports/security/bruteblock
Info: Software for blocking bruteforce attacks with ipfw
6. Port knocking
-
root - Site Admin
- Сообщения: 1894
- Зарегистрирован: 11 июн 2008, 13:05
- Откуда: Moscow, Russia
-
- Сайт
Re: Несанкционированная попытка ssh-авторизации на сервере.
Андрей » 08 апр 2009, 13:32
Открыть доступ только такому-то у меня не получится — я провайдер, но своей сетью не пользуюсь, а у другого провайдера динамические ip. Статический нет желания заказывать, т.к. инет у того провайдера путем не работает (сбои, перерывы связи и т.п.) Но сейчас не об этом.
Поставил имя пользователя нечто типа fDs9_abK8.34 и пароль длиннючий.
.ı|ı..ı|ı.
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
-
- Сайт
- ICQ
Re: Несанкционированная попытка ssh-авторизации на сервере.
root » 08 апр 2009, 13:38
каждый выбирает вариант удобный ему
логин можно было хоть root ставить
главное пароль и его стойкость к перебору
-
root - Site Admin
- Сообщения: 1894
- Зарегистрирован: 11 июн 2008, 13:05
- Откуда: Moscow, Russia
-
- Сайт
Re: Несанкционированная попытка ssh-авторизации на сервере.
Андрей » 09 апр 2009, 06:51
А можно ли найти того, кто этим занимается?
Я вообще не понимаю, как можно так на одном компе брать любые адреса. Я понимаю, почему идет их бытрая смена, но как это возможно?
.ı|ı..ı|ı.
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
-
- Сайт
- ICQ
Re: Несанкционированная попытка ssh-авторизации на сервере.
lehisnoe » 09 апр 2009, 08:33
Андрей писал(а):А можно ли найти того, кто этим занимается?
Можно: IP-то у тебя в логах остается. Можешь накатать жалобу прову, в чью подсеть он входит. Но, в итоге, окажется, что это комп какой-нть домохозяйки, кот. ни сном ни духом ни про какие подборы паролей.
Андрей писал(а):Я вообще не понимаю, как можно так на одном компе брать любые адреса. Я понимаю, почему идет их бытрая смена, но как это возможно?
А кто тебе сказал, что сканы идут с одного компа? 
-
lehisnoe - Site Admin
- Сообщения: 539
- Зарегистрирован: 11 июн 2008, 14:09
- Откуда: Moscow
-
- Сайт
Re: Несанкционированная попытка ssh-авторизации на сервере.
root » 09 апр 2009, 09:58
lehisnoe писал(а):А кто тебе сказал, что сканы идут с одного компа?
+1
это как спам, бот машинам отдают команду на скан, и понеслось, но т.к. бот машины не общаются между собой, вот и получается что к тебе стучится NNое кол-во ипов, но заметь, что они перебирают одни и те же логины
Андрей такими вещами занимаются бот машины и их сотни тысяч в инете
вместо того чтобы искать, лучше озадачся поиском таковых у себя в сети и попытками снизить вероятность появления таковых у себя в сети
это будет гораздо эффективней, чем строчить сотни писем провам, которые их, возможно и читать не будут.
-
root - Site Admin
- Сообщения: 1894
- Зарегистрирован: 11 июн 2008, 13:05
- Откуда: Moscow, Russia
-
- Сайт
Re: Несанкционированная попытка ssh-авторизации на сервере.
Андрей » 09 апр 2009, 12:27
Ну в принципе я понял, что мудреные логины и длинючие пароли — единственный мой выход. Тема в принципе раскрыта. Всем спасибо.
.ı|ı..ı|ı.
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
-
- Сайт
- ICQ
Re: Несанкционированная попытка ssh-авторизации на сервере.
Андрей » 11 апр 2009, 20:02
А можно ли посмотреть какие пароли пытаются подобрать?
.ı|ı..ı|ı.
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
-
- Сайт
- ICQ
Вернуться в FreeBSD
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4
| Автор | Сообщение |
|---|---|
|
Заголовок сообщения: Не удается залогиниться под вновь созданным юзером..
|
|
|
|
ребят, прошу прощения за дурацкий вопрос. готова получить заслуженный помидор по морде лица, но я ничего не понимаю. вроде и статьи поизучила, и почитала по предмету вопроса умную книжку от брайана таймэна, но не получается элементарно создать нового пользователя точнее, пользователь-то с помощью команды adduser добавляется успешно. программа в конце процедуры мне пишет, что всё ОК, но при попытке залогиниться под свежесозданным юзером Putty мне пишет «access denied» Почему так? |
| Вернуться к началу |
|
 |
Добавлено: Пт 18 май, 2007 9:48 pm 
|
grayich |
Заголовок сообщения:
|
|
|
наиболее вероятныq вариант, пользователь неразрешен в sshd локально логинится хоть ? |
| Вернуться к началу |
|
|
|
SvetlanaNikit |
Заголовок сообщения:
|
|
|
Цитата: наиболее вероятныq вариант, пользователь неразрешен в sshd так и есть. Цитата: локально логинится хоть ? я даже не знаю, где сервер находится физически — мы его арендуем |
| Вернуться к началу |
|
|
|
grayich |
Заголовок сообщения:
|
|
|
покажи следующее |
| Вернуться к началу |
|
|
|
SvetlanaNikit |
Заголовок сообщения:
|
|
|
q5news# egrep -v «^$|^#» /etc/ssh/sshd_config |
| Вернуться к началу |
|
|
|
SvetlanaNikit |
Заголовок сообщения:
|
|
|
что-то не так, видимо прописала:
lMay 19 09:11:51 q5news sshd[65792]: User svetlana from 89.178.107.30 not allowed because not listed in AllowUsers хотя в конфиге вот: Код: File: sshd_config Col 0 3114 bytes 100% # Change to yes to enable built-in password authentication. # Change to no to disable PAM authentication # Kerberos options # GSSAPI options # Set this to ‘no’ to disable PAM authentication, account processing, #AllowTcpForwarding yes # no default banner path # override default of no subsystems |
| Вернуться к началу |
|
|
|
grayich |
Заголовок сообщения:
|
|
|
пропробуй
з.ы. |
| Вернуться к началу |
|
|
|
SvetlanaNikit |
Заголовок сообщения:
|
|
|
Цитата: пропробуй з.ы.
супер!! спасибо огромное: все заработало!!!
единственно, еще не подскажет, где бы почитать6 мне нужно, чтоб свежесозданный юзер мог читать логи. и конфиги апача. |
| Вернуться к началу |
|
|
|
vadblm |
Заголовок сообщения:
|
|
|
SvetlanaNikit писал(а): единственно, еще не подскажет, где бы почитать6 мне нужно, чтоб свежесозданный юзер мог читать логи. и конфиги апача.
апачевские логи доступны по умолчанию всем:
если же нет, например если права на логи выставлены так словом, если политика отличается от дефолтной в сторону устрожения, то надо добавлять юзера в соответствующие группы (www и wheel). то же в силе и для дюбых других логов (и конфигов) — сделайте ls -l /var/log и посмотрите какие выставлены права доступа. ЗЫ в группу wheel следует добавлять с осмотрительнстью, т.к. это суперпользовательская группа, её члены имеют повышенные привилегии — например право выполнять su (становиться рутом). |
| Вернуться к началу |
|
|
|
SvetlanaNikit |
Заголовок сообщения:
|
|
|
ребят, простите, за еще однин тупой вопрос: |
| Вернуться к началу |
|
|
|
vadblm |
Заголовок сообщения:
|
|
|
pw usermod <username> -g <group> — сменить первичную группу man pw прочитать не помешает… |
| Вернуться к началу |
|
|
|
SvetlanaNikit |
Заголовок сообщения:
|
|
|
Цитата: pw usermod <username> -g <group> — сменить первичную группу спасибо:) есть очень хорошая книжка «команды линукс», но, насколько я поняла, не всегда линуксовые команды имеют аналоги во фре.. |
| Вернуться к началу |
|
|
Кто сейчас на конференции |
|
Зарегистрированные пользователи: Bing [Bot], Majestic-12 [Bot] |
| Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения |
-
-
March 31 2010, 14:56
- IT
- Cancel
Существует множество рекомендаций по усложнению подбора пароля SSH, таких как: — смена порта на более высокий номер, создания сложного имени пользователя, сложного пароля и т. д. Если говорить честно, то не считаю, что подобные меры хоть сколько-то могут помочь в решении проблемы. Единственное, чем не стоит пренебрегать в решении вопроса, так это задание серьёзного пароля по типу Dfg#$8G957^&*kl и запрещение доступа root’у. Для его отключения необходимо в sshd_config прописать:
или закомментировать строку:
По умолчанию sshd игнорирует попытки пройти аутентификацию пользователем root.
Соблюдая предложенные мною две рекомендации, мы практически лишаем злоумышленника возможности подобрать пароль и завладеть системой. Но в этом случае наш /var/log/auth.log будет пестрить записями о не прохождении аутентификации и станет не читаем, кроме как при помощи grep’а. В связи с чем, мы будем просто блокировать хост злоумышленника по средствам ipfw.
Всё ниже описанное благополучно настраивалось на FreeBSD 8.0. В дереве портов в ветке /usr/ports/security существует множество утилит для решения проблемы: Bruteblock, Bruteforceblocker, Blocksshd, fail2ban и др. Так как я использую ipfw и планирую защищать только SSH, мой выбор пал на Bruteblock. Программа анализирует журнал запущенных служб и заносит ip злоумышленников в таблицу ipfw.
Перед тем как начать, мы должны убедиться, в том что ядро собрано с IPFW:
Если вы получили сообщение об ошибке подобное этому: ipfw: getsockopt(IP_FW_GET): Protocol not available
тогда ядро собрано без IPFW. Для включения IPFW достаточно добавить в файл конфигурации cd /usr/src/sys/i386/conf/GENERIC строку options IPFIREWALL. Как собрать и установить ядро подробно описано в руководстве FreeBSD.
Устанавливаем Bruteblock из портов:
cd /usr/ports/security/bruteblock/
make install clean
Редактируем конфигурационный файл /usr/local/etc/bruteblock/ssh.conf (здесь же можете увидеть пример конфигурационного файл для предотвращения подбора паролей ProFTPD – proftpd.conf):
#при попытках подбора паролей. Формат регулярных выражений — PCRE.
#»regexp0″,»regexp1″,… «regexp9» — опциональные поля содержащие до 10
#дополнительных регулярных выражений..
#По сути тут задаются строки по которым bruteblock будет реагировать
#на попытку подбора пароля
#Например, в /var/log/auth.log:
#sshd[41945]: error: PAM: authentication error for alice from 192.168.0.1
#sshd[41945]: error: PAM: authentication error for illegal user root from 192.16
#sshd[41945]: Failed keyboard-interactive/pam for invalid user root from 192.168
#sshd[16666]: Failed unknown for illegal user asdfasdfasd from 192.168.0.1 port
#sshd[16666]: Did not receive identification string from 192.168.0.1
#Тогда в /usr/local/etc/bruteblock/ssh.conf пишем:
regexp = sshd.*(?:Illegal|Invalid) user S+ from (d{1,3}.d{1,3}.d{1,3}.d{1,3})
regexp1 = sshd.*Failed S+ for (?:(?:illegal|invalid) user )?S+ from (d{1,3}.d{1,3}.d{1,3}.d{1,3})
regexp2 = sshd.*error: PAM: authentication error for (?:(?:illegal|invalid) user )S+ from (d{1,3}.d{1,3}.d{1,3}.d{1,3})
regexp3 = sshd.*Did not receive identification string from (d{1,3}.d{1,3}.d{1,3}.d{1,3})
#Количество неудачных попыток входа в течение времени «within_time», прежде чем мы
#заблокируем хост.
max_count = 4
#Время в секундах в течении которого должны произойти
#max_count неудачных попыток входа. Тут идея в чём… Мы тоже можем ошибаться, #поэтому, если мы ошиблись и три #раза ввели не верно пароль, достаточно подождать минуту и попробовать снова. Если мы 4 раза введём неверно #пароль, наш хост будет так же заблокирован
within_time = 60
#Время жизни правила блокировки, по истечению которого
#bruteblockd удаляет правило из таблицы.
# 10 минут
reset_ip = 600
# номер таблицы ipfw. Должен совпадать с номером таблицы в правиле ipfw.
ipfw2_table_no = 1
Сейчас добавим правила ipfw в /etc/firewall, блокирующие подключения для адресов из выбранной таблицы, например:
deny tcp from table(1) to me dst-port 22 in recv sis0
sis0 – сетевой интерфейс, через который пытаются войти по SSH перебором.
Хочу обратить внимание, если мы хотим заранее определенные хосты исключить из попадания в чёрный список, то достаточно в /etc/firewall добавить до правила deny правило allow с таблицей в которой перечислены все доверенные ip адреса.
Нам осталось добавить программу bruteblock в конфигурационный файл syslogd — /etc/syslog.conf:
auth.info;authpriv.info |exec /usr/local/sbin/bruteblock -f /usr/local/etc/bruteblock/ssh.conf
auth.info;authpriv.info /var/log/auth.log
и перезапустив syslogd, например, командой: /etc/rc.d/syslogd restart
Теперь нам необходимо указать системе, что мы используем bruteblock. Для этого в /etc/rc.conf добавим следующие строки:
#Разрешаем запускать bruteblockd
bruteblockd_enable=»YES»
# номер таблицы ipfw
bruteblockd_table=»1″
#Как часто пересматривать таблицы ipfw для удаления устаревших правил
bruteblockd_flags=»-s 60″
Теперь запускаем bruteblockd: /usr/local/etc/rc.d/bruteblockd start
Ну и напоследок, просмотреть таблицу с заблокированными хостами можно так: ipfw table 1 list
Просмотреть все текущие правила, соответственно так: ipfw list