Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
debian:ssh_autoban [11.07.2015 21:09] pitriss [Nastavení rsyslogu] |
debian:ssh_autoban [20.09.2015 11:15] (aktuální) ritchie doplněny popisy skriptů |
||
---|---|---|---|
Řádek 4: | Řádek 4: | ||
+ | ===== Cron řádky ===== | ||
+ | ''/etc/crontab''\\ | ||
+ | Skripty se spouštějí každých 5 minut. | ||
+ | <file cron crontab> | ||
+ | */5 * * * * root /usr/local/bin/vycuc.sh &> /dev/null | ||
+ | */5 * * * * root /usr/local/bin/banovator.sh &> /dev/null | ||
+ | </file> | ||
===== Soubory ===== | ===== Soubory ===== | ||
Řádek 10: | Řádek 17: | ||
==== rc.local ==== | ==== rc.local ==== | ||
+ | |||
+ | ''/etc/rc.local''\\ | ||
+ | Tento soubor obsahuje iptables pravidla, která sledují komunikaci na portu 22 a po 3 neúspěšných pokusech zablokují zdrojovou IP adresu na 5 minut a zapíšou tuto IP adresu do logu s prefixem ''BLOCKED-SSH:''. | ||
<file bash rc.local> | <file bash rc.local> | ||
Řádek 33: | Řádek 43: | ||
==== Banovátor ==== | ==== Banovátor ==== | ||
+ | |||
+ | ''/usr/local/bin/banovator.sh''\\ | ||
+ | Tento soubor nastavuje iptables pravidla tak, aby byly permanentně zablokovány IP adresy z blacklistu v souboru ''/etc/banned-ip''. V tomto seznamu mohou být komentáře volně za IP adresou, skript si s tím poradí. | ||
+ | |||
<file bash banovator.sh> | <file bash banovator.sh> | ||
#!/bin/bash | #!/bin/bash | ||
Řádek 47: | Řádek 61: | ||
==== Nastavení rsyslogu ==== | ==== Nastavení rsyslogu ==== | ||
+ | |||
+ | ''/etc/rsyslog.d/blocked-ssh.conf''\\ | ||
+ | Toto slouží k přesměrování záznamů v logu s prefixem ''BLOCKED-SSH'' do zvláštního souboru, ze kterého potom čerpá PHP stránka z [[debian:ssh_autoban#php_scripty_zobrazujici_pocet_zablokovanych|PHP skriptů]]. | ||
<file bash blocked-ssh.conf> | <file bash blocked-ssh.conf> | ||
Řádek 52: | Řádek 69: | ||
& ~ | & ~ | ||
</file> | </file> | ||
+ | |||
+ | <wrap important>Pozor:</wrap> rsyslog v debianu má pravděpodobně výchozí práva u vytvořených souborů <wrap caution>640</wrap>, což znemožňuje čtení logu uživatelem www-data. Proto je nutné upravit direktivu | ||
+ | $FileCreateMode 0640 | ||
+ | v souboru ''/etc/rsyslog.conf'' na | ||
+ | $FileCreateMode 0644 | ||
+ | nebo tuto direktivu přidat na začátek souboru ''/etc/rsyslog.d/blocked-ssh.conf''. | ||
+ | ==== vycuc.sh ==== | ||
+ | |||
+ | ''/usr/local/bin/vycuc.sh''\\ | ||
+ | Tento skript vypisuje pouze informace týkající se SSH přihlašování z ''/var/log/auth.log'' do ''/tmp/short-auth.log'', slouží to jako podklad pro porovnání s výstupem v logu ''/var/log/blocked-ssh.log'' a je zobrazen na stránce top.php v [[debian:ssh_autoban#php_scripty_zobrazujici_pocet_zablokovanych|PHP skriptech]]. | ||
+ | |||
+ | <file bash vycuc.sh> | ||
+ | #!/bin/bash | ||
+ | grep -v pam_unix /var/log/auth.log | grep -v sudo | grep -E [[:digit:]]\.[[:digit:]]\.[[:digit:]]\.[[:digit:]] > /tmp/short-auth.log | ||
+ | grep -v pam_unix /var/log/auth.log.1 | grep -v sudo | grep -E [[:digit:]]\.[[:digit:]]\.[[:digit:]]\.[[:digit:]] > /tmp/short-auth-old.log | ||
+ | chmod 644 /tmp/short-auth* | ||
+ | </file> | ||
+ | ==== PHP scripty zobrazující počet zablokovaných ==== | ||
+ | |||
+ | Rozbalit do ''/var/www/'' a poté to je dostupné na adrese ''http://server_address/spameri''. Je k tomu potřeba webserver s nakonfigurovaným php interpreterem, nainstalovaným ''php5'' a ''php5-geoip'' včetně ''geoip-database'' pro výpis země původu spamera. | ||
+ | |||
+ | {{:debian:spameri.tar.gz|spameri.tar.gz}} | ||
+ |