Добавить возможность в WEB установку security-level/lockout-policy

[vasek00]

Есть ли возможность реализовать функционал такой как например

ip telnet
    port 23
    security-level private
    lockout-policy 5 15 3


ip ssh
    port ххххх
    security-level private
    lockout-policy 5 15 3

в WEB для dropbear который использует порт 222 (по умолчанию при установке), т.е. установили OPKG и добавили правило для контроля доступа через dropbear. 

Можно конечно и в межсетвом экране просто заблокировать данный порт 222.

[vasek00]

Спойлер

[W] May 16 18:43:53 dropbear[9440]: Bad password attempt for 'root' from 92.118.228.251:55038
[I] May 16 18:43:54 dropbear[9440]: Exit before auth from <92.118.228.251:55038>: (user 'root', 1 fails): Exited normally
[I] May 16 18:44:25 dropbear[9455]: Child connection from 92.118.228.251:48118
[W] May 16 18:44:26 dropbear[9455]: Bad password attempt for 'root' from 92.118.228.251:48118
[I] May 16 18:44:34 dropbear[9455]: Exit before auth from <92.118.228.251:48118>: (user 'root', 1 fails): Exited normally
[I] May 16 18:45:04 dropbear[9461]: Child connection from 92.118.228.251:56234
[W] May 16 18:45:05 dropbear[9461]: Login attempt for nonexistent user from 92.118.228.251:56234
[I] May 16 18:45:06 dropbear[9461]: Exit before auth from <92.118.228.251:56234>: Exited normally

 

Пользователь установил Entware, по умолчанию так же и сервис "dropbear" + наличие белого IP. В результате в системе стоят два сервиса первый прошивочный /usr/..../dropbear второй /opt/sbin/dropbear. Контроль первого возможен из WEB (Службы управления+Удаленное управление = смена порта и запрет/или ban ), контроль второго тут варианты.  Какие должны быть действия/бездействия обычного/простого пользователя после установки Entware :

1. установить крутой пароль из хXх.....хXх символов

2. просто заблокировать данный порт 222 (так как он в conf при установке) через WEB

3. сменить порт всем известный порт от dropbear из Entware

4. воспользоваться таким же сервисом как и в прошивке, которого нет но возможен

5. сменить IP на серый

6. нечего

Или просто упомянуть - за все действия/бездействия отвечает сам пользователь.

Изменено 18 мая пользователем vasek00

[Denis P]

3 часа назад, vasek00 сказал:

2. просто заблокировать данный порт 222 (так как он в conf при установке) через WEB

Он по умолчанию и так заблокирован, по этому и остальные аргументы довольно странные.
Следить за службами/портами в opkg из ndms так себе затея, учитывая что пользователь развернуть там может практически что угодно.

[vasek00]

6 часов назад, Denis P сказал:

Он по умолчанию и так заблокирован, по этому и остальные аргументы довольно странные.

Следить за службами/портами в opkg из ndms так себе затея, учитывая что пользователь развернуть там может практически что угодно.

Не расскажите как сервис 1052 по умолчанию заблокирован 

 1052 root      2636 S    /opt/sbin/dropbear -p ХХХХХ -P /var/run/dropbear/dropbear.pid
 1282 root      5312 S    /usr/sbin/dropbear

Пример выше как то не говорит об этом.

О какой слежке речь, если тема "Добавить возможность в WEB установку security-level/lockout-policy". 

 

Изменено Вторник в 04:23 пользователем vasek00

[Denis P]

15 часов назад, vasek00 сказал:

Не расскажите как сервис 1052 по умолчанию заблокирован 

 1052 root      2636 S    /opt/sbin/dropbear -p ХХХХХ -P /var/run/dropbear/dropbear.pid
 1282 root      5312 S    /usr/sbin/dropbear

Пример выше как то не говорит об этом.

О какой слежке речь, если тема "Добавить возможность в WEB установку security-level/lockout-policy". 

 

есть ощущение что мы разговариваем с вами на разных языках. Попробую расставить все точки над "ё"
dropbear от entware недоступен из интернетов по умолчанию.
Вы просите реализовать lockout-policy для службы из entware, верно?

[vasek00]

13 часов назад, Denis P сказал:

есть ощущение что мы разговариваем с вами на разных языках. Попробую расставить все точки над "ё"
dropbear от entware недоступен из интернетов по умолчанию.
Вы просите реализовать lockout-policy для службы из entware, верно?

Странно, что на разных.

Спойлер

dropbear от entware недоступен из интернетов по умолчанию.

Можете показать как это происходит, что он недоступен.

~ # netstat -ntulp | grep dropb
tcp        0      0 0.0.0.0:2PORT2              0.0.0.0:*               LISTEN      1052/dropbear
tcp        0      0 0.0.0.0:KeenPORT            0.0.0.0:*               LISTEN      1282/dropbear
tcp        0      0 :::2PORT2                   :::*                    LISTEN      1052/dropbear
tcp        0      0 :::KeenPORT                 :::*                    LISTEN      1282/dropbear
~ # ps | grep drop
 1052 root      2636 S    /opt/sbin/dropbear -p 2PORT2 -P /var/run/dropbear/dropbear.pid
 1282 root      5312 S    /usr/sbin/dropbear

пока вижу это, 2PORT2 этот из Entware, что так же упомянутые в логе записи которые выше.

Цитата

Вы просите реализовать lockout-policy для службы из entware, верно?

Я просто сделал то же самое что и для родного 

Спойлер

SSH_IN -p tcp -m tcp --dport KeenPORT -m set --match-set _NDM_BFD_SSH4 src --return-nomatch ! --update-counters ! --update-subcounters -j DROP
SSH_OUT -p tcp -m tcp --sport KeenPORT -m set --match-set _NDM_BFD_SSH4 dst --return-nomatch ! --update-counters ! --update-subcounters -j DROP

для прошивочного

SSH_IN -p tcp -m tcp --dport 2PORT2 -m set --match-set _NDM_BFD_SSH4 src --return-nomatch ! --update-counters ! --update-subcounters -j DROP
SSH_OUT -p tcp -m tcp --sport 2PORT2 -m set --match-set _NDM_BFD_SSH4 dst --return-nomatch ! --update-counters ! --update-subcounters -j DROP

для dropbear из Entware сделал так же, хотя из WEB можно по проще

-p tcp -m tcp --dport 2PORT2 -j ACCEPT

 

 

[Denis P]

2 часа назад, vasek00 сказал:

Странно, что на разных.

  Показать контент

dropbear от entware недоступен из интернетов по умолчанию.

Можете показать как это происходит, что он недоступен.

~ # netstat -ntulp | grep dropb
tcp        0      0 0.0.0.0:2PORT2              0.0.0.0:*               LISTEN      1052/dropbear
tcp        0      0 0.0.0.0:KeenPORT            0.0.0.0:*               LISTEN      1282/dropbear
tcp        0      0 :::2PORT2                   :::*                    LISTEN      1052/dropbear
tcp        0      0 :::KeenPORT                 :::*                    LISTEN      1282/dropbear
~ # ps | grep drop
 1052 root      2636 S    /opt/sbin/dropbear -p 2PORT2 -P /var/run/dropbear/dropbear.pid
 1282 root      5312 S    /usr/sbin/dropbear

пока вижу это, 2PORT2 этот из Entware, что так же упомянутые в логе записи которые выше.

Я просто сделал то же самое что и для родного 

  Показать контент

SSH_IN -p tcp -m tcp --dport KeenPORT -m set --match-set _NDM_BFD_SSH4 src --return-nomatch ! --update-counters ! --update-subcounters -j DROP
SSH_OUT -p tcp -m tcp --sport KeenPORT -m set --match-set _NDM_BFD_SSH4 dst --return-nomatch ! --update-counters ! --update-subcounters -j DROP

для прошивочного

SSH_IN -p tcp -m tcp --dport 2PORT2 -m set --match-set _NDM_BFD_SSH4 src --return-nomatch ! --update-counters ! --update-subcounters -j DROP
SSH_OUT -p tcp -m tcp --sport 2PORT2 -m set --match-set _NDM_BFD_SSH4 dst --return-nomatch ! --update-counters ! --update-subcounters -j DROP

для dropbear из Entware сделал так же, хотя из WEB можно по проще

-p tcp -m tcp --dport 2PORT2 -j ACCEPT

 

 

в iptables в таблице filter есть целая цепочка, _NDM_IP_PUBLIC, в которой прекрасно видно какие порты у нас разрешены для доступа "снаружи"
то что сервис "слушает" совсем не означает что доступ к нему не ограничен через межсетевой экран

там же, в filter можно найти пользовательские правила, например разрешенный icmp снаружи выглядит таким образом

-A @GigabitEthernet1 -p icmp -j ACCEPT

Изменено Среда в 12:21 пользователем Denis P

[vasek00]

2 часа назад, Denis P сказал:

то что сервис "слушает" совсем не означает что доступ к нему не ограничен через межсетевой экран

А это 

Спойлер

[W] May 16 18:43:53 dropbear[9440]: Bad password attempt for 'root' from 92.118.228.251:55038
[I] May 16 18:43:54 dropbear[9440]: Exit before auth from <92.118.228.251:55038>: (user 'root', 1 fails): Exited normally
[I] May 16 18:44:25 dropbear[9455]: Child connection from 92.118.228.251:48118
[W] May 16 18:44:26 dropbear[9455]: Bad password attempt for 'root' from 92.118.228.251:48118
[I] May 16 18:44:34 dropbear[9455]: Exit before auth from <92.118.228.251:48118>: (user 'root', 1 fails): Exited normally
[I] May 16 18:45:04 dropbear[9461]: Child connection from 92.118.228.251:56234
[W] May 16 18:45:05 dropbear[9461]: Login attempt for nonexistent user from 92.118.228.251:56234
[I] May 16 18:45:06 dropbear[9461]: Exit before auth from <92.118.228.251:56234>: Exited normally

 

ограничен через межсетевой экран

Не покажите где данный порт (по умолчанию он 222) от службы Entware-dropbear ограничен в межсетевом.

 

 

 

 

Изменено Среда в 13:53 пользователем vasek00

[Denis P]

1 час назад, vasek00 сказал:

А это 

  Скрыть контент

[W] May 16 18:43:53 dropbear[9440]: Bad password attempt for 'root' from 92.118.228.251:55038
[I] May 16 18:43:54 dropbear[9440]: Exit before auth from <92.118.228.251:55038>: (user 'root', 1 fails): Exited normally
[I] May 16 18:44:25 dropbear[9455]: Child connection from 92.118.228.251:48118
[W] May 16 18:44:26 dropbear[9455]: Bad password attempt for 'root' from 92.118.228.251:48118
[I] May 16 18:44:34 dropbear[9455]: Exit before auth from <92.118.228.251:48118>: (user 'root', 1 fails): Exited normally
[I] May 16 18:45:04 dropbear[9461]: Child connection from 92.118.228.251:56234
[W] May 16 18:45:05 dropbear[9461]: Login attempt for nonexistent user from 92.118.228.251:56234
[I] May 16 18:45:06 dropbear[9461]: Exit before auth from <92.118.228.251:56234>: Exited normally

 

ограничен через межсетевой экран

Не покажите где данный порт (по умолчанию он 222) от службы Entware-dropbear ограничен в межсетевом.

 

 

 

 

По умолчанию заблокировано всё, что не разрешено (кроме исключений приведенных выше, там будут в том числе и vpn сервера), вероятно вы сами открыли доступ.
Изучайте правила вашего межсетевого экрана, возможно что-то упустили.
По вашей логике все порты в кинетике открыты, если их ручками не закрыть.

[vasek00]

13 часов назад, Denis P сказал:

По умолчанию заблокировано всё, что не разрешено (кроме исключений приведенных выше, там будут в том числе и vpn сервера), вероятно вы сами открыли доступ.
Изучайте правила вашего межсетевого экрана, возможно что-то упустили.
По вашей логике все порты в кинетике открыты, если их ручками не закрыть.

вероятно вы сами открыли доступ.

Это не по моей логике, а то что есть в реале после установки Entware. Да чтоб его открыть нужно предпринять какие то действия, которых не было.

вероятно вы сами открыли доступ

Понятно.

 

[vasek00]

Проверил все на новом роутере с нуля + Entware внутренняя c dropbear - по умолчанию все ОК, посмотрел так же 

По умолчанию заблокировано всё, что не разрешено (кроме исключений приведенных выше, там будут в том числе и vpn сервера)

все как говорится ОК.

Далее сравнил все что выше с настройками на проблемном роутере - как то странно все один в один нечего не нашел. Есть пара сервисов чуток и чуток правил но они вообще никакого отношения к тому что выше не имеют. Оставим на еще анализ чуток по позже.