Ronny Haryanto wrote:
On Fri, Jun 16, 2006 at 07:55:22AM +0700, dodo wrote:
Bagaimana cara mengatasi serangan spt log dari Logwatch dibawah ini ?
Apakah mail server kami sudah disusupi ?
Kan "failed".
Beberapa cara:
- batasi sshd supaya hanya user2 tertentu yg bisa login, edit ini di
/etc/ssh/sshd_config:
PermitRootLogin no
AllowUsers ronny dodo
- pasang rules ini di iptables supaya kalo connect ke sshd berturut2 lebih dr 3x
dalam 1 menit langsung diblock: (ganti 192.168.1.4 dg IP anda)
iptables -N SSH_CHECK
iptables -A INPUT -d 192.168.1.4 -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m state --state NEW -m recent --set --name SSH --rsource
iptables -A SSH_CHECK -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource
iptables -A SSH_CHECK -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
Ronny
ganti juga portnya, ini relatif aman
--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke [EMAIL PROTECTED]
Arsip dan info milis selengkapnya di http://linux.or.id/milis