Postacı Kapıyı Üç Kere Çalar

Yaklaşık 15 gündür log analizi için kullandığım nefis Gentoo projesi tenshi, Critical Report başlıklı aşağıdakine benzer raporlar gönderiyordu. Fakat aynı anda gelen bu istekler için Snort sessiz kalıyordu.


From: tenshi@tux.tubitak.gov.tr
To: caglar.onur@tux.tubitak.gov.tr
Subject: tenshi CRITICAL report [critical]
Date: Thu, 12 Aug 2004 07:37:11 +0300
tux:

1: sshd: Illegal user test from 218.102.20.187
2: sshd: Illegal user admin from 218.102.20.187
3: sshd: Illegal user user from 218.102.20.187


Gentoo-Security listesinde de benzeri durumlar ile karşılaşan bilimum sayıda insan olunca acaba yeni bir ssh açığı mı sorusu etrafta dolanmaya başlamıştı. Hal böyle olunca bende de ister istemez huzursuzlanmalar başladı. Ssh erişimini sabit IP’lere kısıtlamak işime gelmiyordu, malum evde ADSL kullanıyorum, sabit IP’me her an herşey olabilir, tecrübe ile sabit :)

Linux Journal‘da eski makalelere bakarken kendileri ile karşılaştım. Makale özetle belli portlara paket yollayarak [ kapı çalarak :) ], ipchains üzerinde gerçek zamanlı kural değişikliği yapılmasını anlatıyordu.

Makalenin biraz eski ve ipchains anlatması sebebi ile var mı acaba alternatifi diye düşünürken emerge -S knock beni knockd taraflarına götürdü.

Güzel bir emerge hamlesi ile ssh erişiminin sağlanması için belli portlara belli bir sıra ve belli bir zaman içinde paket yollayarak kapıyı çalmak ve knockd’ye kapıyı sadece kapıyı çalan istemciye [ postacı :) ] açtırmak, işim bittiğinde ise port sırasının tam tersi ile kapıyı tekrar çalarak ssh erişimini kapattırmak mümkün oldu.

Bu işi de otomatize etmek adına ufak bir konuşabilen betik yazınca [ Festival Text to Speech Engine sağolsun ] tadından yenmez bir çözüm oldu. Bugünde böyle birşey oldu işte :)