Chinaunix

标题: ssh的限制问题 [打印本页]
作者: 77902543    时间: 2006-10-08 14:06
标题: ssh的限制问题
我想限制ssh的密码重试次数,就像CU登陆时的那样,超过5次就一天内禁止他的IP再登陆.
试过把sshd_config里的#MaxAuthTries 6打开,但是6次过后也就是出现个提示而已,还可以继续试密码...
想过用检查/var/log/secure里的记录来检测登陆次数,但是不知道写脚本该放在哪.....或者有其他比较简单的方法?

另外限制ssh只有某些拥护可以登陆,在man sshd_config 之后也没找到AllowGroups 和 AllowUsers
ssh版本是openssh-3.9p1-8.RHEL4.1    ,版本太低的原因?

另外不知道sshd或者httpd,在给用户提供服务时,进程是否会变的非常大或者长期占用CPU资源?
/etc/security/limits.conf是对用户进行限制,有没有什么方法可以对进程限制的?

不知道讲的够不够清楚..大家先看看...
作者: yangprc    时间: 2006-10-08 14:33
http://bbs.chinaunix.net/viewthread.php?tid=612429
作者: 77902543    时间: 2006-10-09 14:44
原帖由 yangprc 于 2006-10-8 14:33 发表
http://bbs.chinaunix.net/viewthread.php?tid=612429


这个帖子看了一下...前面的还能看懂..后面的就不太明白了..

又看了下这个帖子http://bbs.chinaunix.net/viewthr ... p;extra=&page=2
然后又看了下这个帖子里的链接....够麻烦的.....
还是有以下几个疑问:
sshd    :       ALL     :       spawn (/usr/bin/block_ssh.pl %c %d)

这是在那个文章里看到的,对spawn和后面的%c %d不明白,搜索了半天也没找出这个的解释...

perl脚本里的$ip = $ARGV[0];$daemon = $ARGV[1];也不太明白,执行的脚本是"/usr/bin/block_ssh.pl %c %d",那么$ip=$ARGV[0]应该是"/usr/bin/block_ssh.pl ",ARGV[1]应该是"%c"......目前还没有学习perl,望高人指点^^
作者: 77902543    时间: 2006-10-10 12:31
upupupup
作者: kenduest    时间: 2006-10-10 17:41
原帖由 77902543 于 2006-10-8 14:06 发表
我想限制ssh的密码重试次数,就像CU登陆时的那样,超过5次就一天内禁止他的IP再登陆.
试过把sshd_config里的#MaxAuthTries 6打开,但是6次过后也就是出现个提示而已,还可以继续试密码...


因为你误解该参数意思。该参数是说若是密码错误几错后 sshd 就切断连线结束。但是问题是对方可以重新连线,那又会启动 sshd 继续让该存取连结。

想过用检查/var/log/secure里的记录来检测登陆次数,但是不知道写脚本该放在哪.....或者有其他比较简单的方法?


请安装使用 fail2ban 比较方便,甚至换 port 更纯。

另外限制ssh只有某些拥护可以登陆,在man sshd_config 之后也没找到AllowGroups 和 AllowUsers
ssh版本是openssh-3.9p1-8.RHEL4.1    ,版本太低的原因?


预设设定档内没有该参数配置,所以请自行加上。不清楚格式可以 man sshd_config

另外不知道sshd或者httpd,在给用户提供服务时,进程是否会变的非常大或者长期占用CPU资源?
/etc/security/limits.conf是对用户进行限制,有没有什么方法可以对进程限制的?


你的 sshd 支援 pam 验证登入,可以于 pam 设定引入 pam_limit module,那就可以使用 limits.conf 的限制。

apache httpd 本身有内建参数可以限制,请参阅 apache manual。

==
作者: 77902543    时间: 2006-10-11 14:25
去找了下fail2ban,相关资料比较少...学校的Linux机器也坏了...有时间慢慢研究...

不知道iptables可否执行脚本?
一般都是用-j指定操作,如果可以-j去执行某个程序/脚本..那么这个问题就更好解决了~不过在iptables中文档里没有找到相关的信息....不知哪位仁兄成功过没.....
作者: kenduest    时间: 2006-10-11 14:37
原帖由 77902543 于 2006-10-11 14:25 发表
去找了下fail2ban,相关资料比较少...学校的Linux机器也坏了...有时间慢慢研究...

不知道iptables可否执行脚本?
一般都是用-j指定操作,如果可以-j去执行某个程序/脚本..那么这个问题就更好解决了~不过在iptabl ...


no way

fail2ban 已经很简单了,因为相关事宜已经考量处理进去,而你也只是看一下 failban 组态档案,启动该服务后测试即可.

==



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2