Synkronisera blockeringar i DenyHosts  

Postat av rancor under ,

I guiden "Så här skyddar du SSH mot lösenordsattacker med denyhosts" så gick jag genom installationen av DenyHosts men det går även att synkronisera mot denyhosts.net där över 70 000 användare är med och delar med sig av sin data från attacker.

Genom att synkronisera har du möjligheten att bygga upp skyddet innan du blir attackerad eftersom många av de script som körs på Internet har varit uppe länge och antagligen finns redan detta IP registrerat och på så sätt slipper du attacken helt och hållet.

För att aktivera synkroniseringen editerar du /etc/denyhosts.conf med din favoriteditor och letar upp följande rad:

#SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
Ta bort kommentaren så att det står:
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
Spara och starta om denyhosts
sudo /etc/init.d/denyhosts restart
Nu är du med och bidrar samtidigt som du tar del av andras blockeringar. Synkroneringen sker en gång i timmen och du vad som händer i /var/log/denyhosts

Om du tycker om statistik finns det en hel del intressant att titta på här: http://stats.denyhosts.net/stats.html

// rancor

3 kommentarer

Tjena Rancor.

Vet du om de "fixat" hur DenyHosts parsar ssh-loggen, så att den inte längre går att utsätta för DoS (låsa samtliga IP-Adresser)

Hej.

Visste inte ens om att det fanns detta problem :( och nej, jag vet inte heller svaret.

Har du någon mer information om sårbarheten?

// rancor

Du kan kolla här:
Det gäller ju i.o.f.s. inte bara DenyHosts som går att "lura".

http://www.ossec.net/en/attacking-loganalysis.html

Intressant sida förövrigt.

Skicka en kommentar