Что мне делать, если куча машин продолжает пытаться подключиться к моему SSH?

318
einpoklum

В течение последних нескольких часов группа машин из Китая (ну, предположительно) пыталась подключиться по SSH к моей машине с правами root и не сработала. Некоторые (все?) Из их IP-адресов:

218.65.30.53 221.194.47.221 115.238.245.2 115.238.245.4 221.194.47.239

Я использовал веб-сайт для проверки их и написал адреса адресов злоупотреблений. Что мне делать? На моей машине и вообще?

0
Я полагаю, вы не можете просто отключить SSH? Я также предполагаю, что вы использовали соответствующие шаги, чтобы заблокировать доступ этих IP-адресов к вашему серверу. Если вы не используете аутентификацию по ключу, пришло время переключиться. Ramhound 6 лет назад 1
Не запускайте ваш ssh-сервер со стандартным номером порта. Отключите логины пользователя / пароля в пользу использования закрытого ключа. Не оставляйте ваш SSH-сервер доступным через Интернет. Mokubai 6 лет назад 1
@Ramhound: Не могу отключить SSH - мне нужно его использовать. Но я подумаю об отключении входа на основе пароля. einpoklum 6 лет назад 0
@Mokubai: я думаю переместить его в другой порт. Это хлопотно, хотя :-( einpoklum 6 лет назад 0
Если вы используете аутентификацию pubkey, просто игнорируйте их - единственный ущерб, который они могут нанести, - это увеличить размер вашего журнала. Bob 6 лет назад 0
Рассмотрим fail2ban в ближайшей перспективе, изменив ваш порт в краткосрочной перспективе и переключившись на ключи в долгосрочной перспективе. Frank Thomas 6 лет назад 2
@FrankThomas: Не могли бы вы расширить этот комментарий в ответ? einpoklum 6 лет назад 0

1 ответ на вопрос

3
davidgo

Есть несколько вещей, которые вы можете (и, возможно, должны) сделать.

  1. Реализуйте VPN и разрешите доступ только через VPN. Это значительно уменьшит поверхность атаки.

  2. Используйте Fail2Ban или эквивалент, чтобы сорвать атаки грубой силы.

  3. Требовать, чтобы при входе в систему использовался открытый / закрытый ключ.

  4. Добавьте список разрешенных пользователей, добавив директиву AllowUsers в / etc / ssh / sshd_config со списком разрешенных пользователей (и связанных IP-адресов)

  5. Отключите входы в систему root (или, если требуется, строго ограничьте определенные статические IP-адреса согласно пункту 4 выше)

Что вы подразумеваете под «реализовать VPN»? Также - root-вход по умолчанию отключен IIANM. Кроме того, не могли бы вы объяснить, что такое Fail2Ban? einpoklum 6 лет назад 0
Если вы запустите OpenVPN на сервере (или связанном маршрутизаторе), а затем подключитесь к VPN удаленно, вы можете подключиться через SSH. Вы можете назначить IP-адрес и ограничить SSH этим. Fail2Ban - это программное обеспечение, которое отслеживает журналы и может, например, блокировать доступ со связанного IP на определенное время для связанного IP. Это может расстроить DI davidgo 6 лет назад 0

Похожие вопросы