
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD><TITLE></TITLE>

<META http-equiv=Content-Type content="text/html; charset=us-ascii">

<META content="MSHTML 6.00.2900.2963" name=GENERATOR></HEAD>

<BODY text=#000000 bgColor=#ffffff>

<DIV dir=ltr align=left><SPAN class=471361201-20092006><FONT face=Arial 

color=#0000ff size=2>For SSH I suggest 2 things</FONT></SPAN></DIV>

<DIV dir=ltr align=left><SPAN class=471361201-20092006><FONT face=Arial 

color=#0000ff size=2></FONT></SPAN> </DIV>

<DIV dir=ltr align=left><SPAN class=471361201-20092006><FONT face=Arial 

color=#0000ff size=2>1) "Disable" root. By this I mean, just set an improbable 

password that will never ever be discovered because its 300 characters of shite. 

Or whatever. Then setup SUDO and set it up well.</FONT></SPAN></DIV>

<DIV dir=ltr align=left><SPAN class=471361201-20092006><FONT face=Arial 

color=#0000ff size=2>2) Install fail2ban. fail2ban just ban's IP's that scan or 

cause multiple auth errors.</FONT></SPAN></DIV><BR>

<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>

<HR tabIndex=-1>

<FONT face=Tahoma size=2><B>From:</B> plug-bounces@plug.org.au 

[mailto:plug-bounces@plug.org.au] <B>On Behalf Of </B>Jonathan 

Young<BR><B>Sent:</B> Tuesday, 19 September 2006 6:40 PM<BR><B>To:</B> 

plug@plug.org.au<BR><B>Subject:</B> Re: [plug] ssh scans<BR></FONT><BR></DIV>

<DIV></DIV>I would also suggest preventing ssh shell access for users with dodgy 

passwords or for those who don't need it.<BR><BR>For example, on most of my 

Linux boxes, I have ssh access and sudo rights, but you cannot log in as root 

via ssh.<BR><BR>Stuart Midgley wrote: 

<BLOCKQUOTE cite=mid685D37AD-BFCB-4D3E-94AD-62BCF607CFB6@ivec.org 

  type="cite">rules like these can also assist <BR><BR>-A RH-Firewall-1-INPUT -p 

  tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH 

  --rsource <BR>-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 22 -m state --state 

  NEW -j SSH_WHITELIST <BR>-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 22 -m 

  state --state NEW -m recent --update --seconds 60 --hitcount 5 --rttl --name 

  SSH --rsource -j LOG --log-prefix "SSH_brute_force" <BR>-A RH-Firewall-1-INPUT 

  -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 

  --hitcount 5 --rttl --name SSH --rsource -j DROP <BR><BR>which only accept 5 

  connections in 60s to port 22... if it gets more than that, it drops the 

  packets.  Doesn't work with old versions of iptables. <BR><BR>Stu. 

  <BR><BR><BR><BR>On 11/09/2006, at 9:34, Shannon Carver wrote: <BR><BR>

  <BLOCKQUOTE type="cite">Interesting!  Jason's IPB Monitor sounds like a 

    good all-in-one package, <BR>might give it a go tonight for my home Machine. 

    <BR><BR>I'm lucky in my current position, that most of the boxes I 

    administer, I do <BR>so on my own, so I can limit SSH connections to a set 

    of IP's where I'll be <BR>connecting from, or in the case that other users 

    do need SSH access to the <BR>system they're usually only connecting from 

    Work connections anyway (static <BR>IPs), VPN etc. <BR><BR>Thanks for the 

    IPB monitor link! <BR></BLOCKQUOTE><BR><BR>-- <BR>Dr Stuart Midgley 

  <BR>Industry Uptake Program Leader <BR>iVEC, 'The hub of advanced computing in 

  Western Australia' <BR>26 Dick Perry Avenue, Technology Park <BR>Kensington WA 

  6151 <BR>Australia <BR><BR>Phone: +61 8 6436 8545 <BR>Fax: +61 8 6436 8555 

  <BR>Email: <A class=moz-txt-link-abbreviated 

  href="mailto:industry@ivec.org">industry@ivec.org</A> <BR>WWW:  <A 

  class=moz-txt-link-freetext href="http://www.ivec.org">http://www.ivec.org</A> 

  <BR><BR><BR><BR>_______________________________________________ <BR>PLUG 

  discussion list: <A class=moz-txt-link-abbreviated 

  href="mailto:plug@plug.org.au">plug@plug.org.au</A> <BR><A 

  class=moz-txt-link-freetext 

  href="http://www.plug.org.au/mailman/listinfo/plug">http://www.plug.org.au/mailman/listinfo/plug</A> 

  <BR>Committee e-mail: <A class=moz-txt-link-abbreviated 

  href="mailto:committee@plug.linux.org.au">committee@plug.linux.org.au</A> 

  <BR><BR></BLOCKQUOTE><BR><BR>

<DIV class=moz-signature>-- <BR>

<META http-equiv=Content-Language content=en-us>

<META content="Jonathan Young" name=Signature>

<META content="Copyright 1997 to 2004 PC-PHIX" name=Copyright><FONT face=Verdana 

size=2>Jonathan Young<BR>Director of PC-PHIX<BR><A 

class=moz-txt-link-abbreviated 

href="mailto:jonathan@pcphix.com">jonathan@pcphix.com</A><BR><BR>Phone: 0410 455 

674<BR>Web: <A class=moz-txt-link-freetext 

href="http://www.pcphix.com/">http://www.pcphix.com/</A><BR><BR></FONT></DIV></BODY></HTML>