Blok Serangan SSH Server (Serangan Brute Force) Dengan Denyhosts
#1
Big Grin 
Assalamualaikum wr wb
Ane mau berbagi dikit info tentang Blok serangan SSH server dengan Denyhosts hehhe, ane tau Denyhosts dari Om IKon 's Pirasi.
Okee langsung aja ya ke intinya, cekidot
Denyhosts adalah open source dan program keamanan pencegahan intrusi berbasis log gratis untuk SSH server dikembangkan di Python bahasa oleh Phil Schwartz . Hal ini dimaksudkan untuk memonitor dan menganalisa log server SSH untuk usaha login yang tidak valid, serangan berbasis kamus dan serangan kekerasan dengan menghalangi berasal IPalamat dengan menambahkan sebuah entri ke / etc / hosts.deny file di server dan mencegah alamat IP dari membuat lebih jauh upaya login tersebut.

Denyhosts sangat dibutuhkan alat untuk semua sistem berbasis Linux, khususnya ketika kita sedang mengizinkan berbasis password login ssh . Dalam artikel ini kita akan menunjukkan kepada sobat bagaimana menginstal dan mengkonfigurasi Denyhosts pada RHEL 6.3/6.2/6.1/6/5.8 , CentOS 6.3/6.2/6.1/6/5.8 dan Fedora 17,16,15,14,13,12 sistem yang menggunakan repositori Epel.
Instalasi Denyhosts di RHEL, CentOS dan Fedora
Secara default Denyhosts alat tidak termasuk dalam sistem Linux, kita perlu menginstalnya menggunakan pihak ketiga repositori EPEL . Setelah ditambahkan repositori, menginstal paket menggunakan berikut YUM perintah.
Code:
# yum --enablerepo=epel install denyhosts
OR
# yum install denyhosts
Konfigurasi Denyhosts untuk Addresses Whitelist IP
Setelah Denyhosts terinstal, pastikan untuk whitelist sobat sendiri IP address, sehingga sobat tidak akan pernah mendapatkan terkunci sendiri. Untuk melakukan hal ini, buka file / etc / hosts.allow.
Code:
# vi /etc/hosts.allow
Di bawahini deskripsinya, menambahkan setiap alamat IP satu-per-satu di baris terpisah, bahwa sobat tidak pernah ingin memblokir. Formatnya harus sebagai berikut.
Code:
#
# hosts.allow   This file contains access rules which are used to
#               allow or deny connections to network services that
#               either use the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
sshd: 172.16.25.125
sshd: 172.16.25.126
sshd: 172.16.25.127
Konfigurasi Denyhosts untuk Alerts Email
Code:
# vi /etc/denyhosts.conf
Pencarian untuk ‘ADMIN_EMAIL ’dan menambahkan alamat email sobat di sini untuk menerima email pemberitahuan tentang login yang mencurigakan (untuk beberapa email menggunakan koma dipisahkan). Silakan lihat di file konfigurasi saya CentOS 6.3 Server.Setiap variabel didokumentasikan dengan baik sehingga mengkonfigurasinya sesuai dengan keinginan sobat.
Code:
############ DENYHOSTS REQUIRED SETTINGS ############
SECURE_LOG = /var/log/secure
HOSTS_DENY = /etc/hosts.deny
BLOCK_SERVICE  = sshd
DENY_THRESHOLD_INVALID = 5
DENY_THRESHOLD_VALID = 10
DENY_THRESHOLD_ROOT = 1
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/lock/subsys/denyhosts

############ DENYHOSTS OPTIONAL SETTINGS ############
ADMIN_EMAIL = [email protected]
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts <[email protected]>
SMTP_SUBJECT = DenyHosts Daily Report

############ DENYHOSTS OPTIONAL SETTINGS ############
DAEMON_LOG = /var/log/denyhosts
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h
Restart Denyhosts
Code:
# chkconfig denyhosts on
# service denyhosts start
Melihat Log Denyhosts
Untuk melihat denyhosts log ssh untuk berapa banyak penyerang dan hacker yang mencoba untuk mendapatkan akses ke server sobat. Gunakan perintah berikut untuk melihat log real-time
Code:
# tail -f /var/log/secure
Code:
Nov 28 15:01:43 tecmint sshd[25474]: Accepted password for root from 172.16.25.125 port 4339 ssh2
Nov 28 15:01:43 tecmint sshd[25474]: pam_unix(sshd:session): session opened for user root by (uid=0)
Nov 28 16:44:09 tecmint sshd[25474]: pam_unix(sshd:session): session closed for user root
Nov 29 11:08:56 tecmint sshd[31669]: Accepted password for root from 172.16.25.125 port 2957 ssh2
Nov 29 11:08:56 tecmint sshd[31669]: pam_unix(sshd:session): session opened for user root by (uid=0)
Nov 29 11:12:00 tecmint atd[3417]: pam_unix(atd:session): session opened for user root by (uid=0)
Nov 29 11:12:00 tecmint atd[3417]: pam_unix(atd:session): session closed for user root
Nov 29 11:26:42 tecmint sshd[31669]: pam_unix(sshd:session): session closed for user root
Nov 29 12:54:17 tecmint sshd[7480]: Accepted password for root from 172.16.25.125 port 1787 ssh2
Banned IP Address dari Denyhosts
Code:
# /etc/init.d/denyhosts stop
Untuk menghapus IP yang dilarang. sobat perlu mengedit file-file berikut dan menghapus alamat IP.
Code:
# vi /etc/hosts.deny
# vi /var/lib/denyhosts/hosts
# vi /var/lib/denyhosts/hosts-restricted
# vi /var/lib/denyhosts/hosts-root
# vi /var/lib/denyhosts/hosts-valid
# vi /var/lib/denyhosts/users-hosts
Setelah menghapus IP, sobat harus meRestart sistem untuk perubahan.
Code:
# /etc/init.d/denyhosts start
Alamat IP ditambahkan ke semua file di bawah / var/lib/Denyhosts direktori, sehingga membuat sangat sulit untuk menentukan file mana yang berisi alamat IP yaang terkait. Salah satu cara terbaik untuk mengetahui alamat IP menggunakan perintah grep . Misalnya untuk mengetahui alamat IP 172.16.25.125 , lakukan.
Code:
cd /var/lib/denyhosts
grep 172.16.25.125 *

Sampe sini dulu yaa perjumpaan kita hehhe
Semoga bermanfaat Big Grin
Sumber : Blog Seneng
Linux.org

#2
ss demo brutenya gak ada?






Users browsing this thread: 1 Guest(s)