Борьба с ботами-взломщиками средствами rsyslogd

Скажи «Нет!» взломщику, часть третья

В предыдущих частях статей цикла «Скажи «Нет!» взломщику» со взломщиками мы боролись при помощи связки swatch + iptables: swatch проводил анализ системного журнала сообщений, iptables использовался для блокировки непрошеных гостей. Тем не менее, используя swatch на нескольких серверах, я не могу сказать, что я полностью им доволен: слишком уж он хрупок. Завершение дочернего tail приводит к тихой [...]

← Вернуться к полной версии записи «Борьба с ботами-взломщиками средствами rsyslogd»…

Автор: Vladimir; опубликовано в: Администрирование, Безопасность; метки: iptables, Linux, rsyslogd, безопасность

21
Апр
2010

Комментарии к статье «Борьба с ботами-взломщиками средствами rsyslogd» (7) »

Tweets that mention Борьба с ботами-взломщиками средствами rsyslogd « Администрирование « Ars Longa, Vita Brevis -- Topsy.com

Апрель 21, 2010 в 18:20

[...] This post was mentioned on Twitter by Интернет заработок. Интернет заработок said: V.Kolesnikov: Борьба с ботами-взломщиками средствами rsyslogd http://bit.ly/aVBGnQ [...]

Ответить
wedding

Апрель 22, 2010 в 10:13

Кое что не совсем понятно, но буду разбираться. А вообще, спасибо!

Ответить
Elektronic2007

Апрель 22, 2010 в 21:42

Очень познавательная и интересная статья. Мне понравилось, побольше таких статей.

Ответить
Иван Горденков

Апрель 23, 2010 в 16:28

Этот вариант мне куда больше нравится, чем первых 2… спасибо:)

Ответить
Laym

Май 1, 2010 в 22:56

Спасибо за статью. Но для того чтобы понять что как работает мне надо прочитать ее еще пару раз. но все равно спасибо.

Ответить
Alexander

Октябрь 21, 2010 в 23:00

А есть еще такая штука, как fail2ban, ее не пробовали использовать?

В заметке отсутствует самый главный файл ban.sh )

Ответить
- Vladimir
  
  Октябрь 22, 2010 в 17:30
  
  не пробовали использовать?
  
  Пробовал. Просто стояла цель обойтись минимальным числом подручных средств — идея в том, чтобы на все вспомогательные средства затратить минимум оперативной памяти.
  
  В заметке отсутствует самый главный файл ban.sh )
  
  Присутствует — самый последний скрипт.
  
  На практике он может быть сложнее; мы используем что-то вида
  
  [-]
  
  View Code Bash
  
  #! /bin/sh
  
  if [ "0" -ne `id -u` ]; then
  echo "Must be root to do this"
  exit 1
  fi
  
  echo "$1" | grep -E '^(127\.|IP\.AD\.DR\.ESS)' && exit 0
  echo +"$1" > /proc/net/xt_recent/$2
  
  И даже защитили этот скрипт профилем AppArmor:
  
  [-]
  
  View Code Text
  
  #include <tunables/global>
  
  /opt/rsyslogd/ban.sh {
  #include <abstractions/base>
  
  /bin/dash ix,
  /bin/grep rix,
  /opt/rsyslogd/ban.sh r,
  owner /proc/*/net/xt_recent/* w,
  /proc/filesystems r,
  /usr/bin/id rix,
  }
  
  Ответить