[Sysadmins] Snort rules

Ср Мар 8 15:49:48 MSK 2006

"Dmitriy Kruglikov" <Dmitriy.Kruglikov на orionagro.com.ua> writes:

>> Однако наберусь наглости и спрошу: а поправить параметры
>> LoginGraceTime и
>> MaxStartups в /e/o/sshd_config вас не устроит?
> Это все я сделал... И V.1 запретил... И AllowedUsers прописал...

Тогда ssh считай что прикрыт :-)

>> Или ещё что-то кроме ssh засекать надо?
> Еще у меня 993 порт наружу смотрит ...
> Но не в том дело.... Просто повадился гад один подбирать пароли...
> И свой адрес спуфит... И уж если он такой настырный, то у него есть
> шанс :)...
> Один из миллиарда :)...

imaps что-ли?

> Ну а если не Снорт, то как мне ртреагировать на множественные ошибки
> авторизации?
> Для справок, они все пишутся в /var/log/auth/all... Но у меня мозгов
> нет, написать демона...

Всё написано до нас :-). Ну, может не совсем всё и совсем то, что нам надо.
Есть в Сизифе пакет такой: BlockHosts. Как раз такое и делает - смотрит за
логом (по регекспам) и реагирует. Посмотрите его.