<span>I use this one, works great and easy to setup<br><br><a href="http://rfxnetworks.com/bfd.php">http://rfxnetworks.com/bfd.php</a><br></span><br><div class="gmail_quote">On Jan 30, 2008 11:54 AM, James B. Byrne <<a href="mailto:byrnejb@harte-lyne.ca">byrnejb@harte-lyne.ca</a>> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Message-ID: <<a href="mailto:479F2A63.2070408@centos.org">479F2A63.2070408@centos.org</a>><br>
<br>On: Tue, 29 Jan 2008 07:30:11 -0600, Johnny Hughes <<a href="mailto:johnny@centos.org">johnny@centos.org</a>><br>Subject Was: [CentOS] Unknown rootkit causes compromised servers<br><br>><br>> SOME of the script kiddies check higher ports for SSH *_BUT_* I only see<br>
> 4% of the brute force attempts to login on ports other than 22.<br>><br>> I would say that dropping brute force login attempts by 96% is quite a<br>> good reason to move the SSH port from 22 to something else.<br>
<br>I am not a fan of security through obscurity.  If a port is open to the<br>internet then it must be secured whether it is well known or not and if it is<br>properly secured then changing the port number customarily assigned provides<br>
no measurable benefit.  In my opinion, arbitrarily switching port numbers for<br>well known services provides only the illusion of security while often<br>inconveniencing the legitimate users in unpredictable, and sometimes<br>
expensively resolved, fashions.<br><br>To deal with brute force attacks (not just on ssh) I spent some time tracking<br>down how others had dealt with the problem. I discovered thereby that one can<br>use the simple linux firewall iptables to restrict the number of connections<br>
to a given port from a single source over a specified interval. I therefore<br>added these rules to my /etc/sysconfig/iptables file:<br><br>...<br># This is usually present in all setups but, you never know....<br># Established connections go right through.<br>
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>...<br><br># Block brute force attacks<br># Drop repeated ssh connection attempts within 20 seconds interval<br>-A RH-Firewall-1-INPUT -p tcp -m tcp -m state -m recent -i eth0 --dport 22<br>
--state NEW -j DROP  --rcheck --seconds 20 --name THROTTLE --rsource<br><br># Accept ssh connection if not attempted within past 20 sec.<br>-A RH-Firewall-1-INPUT -p tcp -m tcp -m state -m recent -i eth0 --dport 22<br>--state NEW -j ACCEPT  --set --name THROTTLE --rsource<br>
<br>You can change the interval from 20 seconds to whatever you feel represents a<br>decent compromise between user satisfaction and security.  Many authorities<br>considered a value between 3 and 6 seconds sufficient to render brute force<br>
attacks impractical.  These rules can be trivially modified to protect any<br>destination port (-dport 21 for ftp for instance) or protocol (-p udp).<br><br>I hope this information is of use to some of you.  I find this list and its<br>
archives very helpful myself.<br><br>Regards,<br><br>--<br>***          E-Mail is NOT a SECURE channel          ***<br>James B. Byrne                mailto:<a href="mailto:ByrneJB@Harte-Lyne.ca">ByrneJB@Harte-Lyne.ca</a><br>
Harte & Lyne Limited          <a href="http://www.harte-lyne.ca" target="_blank">http://www.harte-lyne.ca</a><br>9 Brockley Drive              vox: +1 905 561 1241<br>Hamilton, Ontario             fax: +1 905 561 0757<br>
Canada  L8E 3C3<br><br>_______________________________________________<br>CentOS mailing list<br><a href="mailto:CentOS@centos.org">CentOS@centos.org</a><br><a href="http://lists.centos.org/mailman/listinfo/centos" target="_blank">http://lists.centos.org/mailman/listinfo/centos</a><br>
</blockquote></div><br>