как предотвратить грубую атаку на ssh?

2836
slycat

Я бегу Centos. Как я могу лучше всего избежать атаки грубой силы на моем SSH-сервере?

Я нашел этот список:

DenyHosts is a Python based security tool for SSH servers. It is intended to prevent brute force attacks on SSH servers by monitoring invalid login attempts in the authentication log and blocking the originating IP addresses. Explains how to setup DenyHosts under RHEL / Fedora and CentOS Linux. Fail2ban is a similar program that prevents brute force attacks against SSH. security/sshguard-pf protect hosts from brute force attacks against ssh and other services using pf. security/sshguard-ipfw protect hosts from brute force attacks against ssh and other services using ipfw. security/sshguard-ipfilter protect hosts from brute force attacks against ssh and other services using ipfilter. security/sshblock block abusive SSH login attempts. security/sshit checks for SSH/FTP bruteforce and blocks given IPs. BlockHosts Automatic blocking of abusive IP hosts. Blacklist Get rid of those bruteforce attempts. Brute Force Detection A modular shell script for parsing application logs and checking for authentication failures. It does this using a rules system where application specific options are stored including regular expressions for each unique auth format. IPQ BDB filter May be considered as a fail2ban lite.

У кого-нибудь есть опыт работы с любым из них?

0
Может быть, вы хотите взглянуть на SSH-Tag на Server Fault. У них есть такие вопросы. Bobby 11 лет назад 0
Я бы порекомендовал вам использовать ** iptables **, как в этой ссылке http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables. В статье показан хороший пример того, как ограничить доступ к SSH 3 попытками подключения каждые 60 секунд, в противном случае внесение в черный список IP-адресов в течение 60 секунд. Адаптируйте пример к вашим потребностям. jaume 11 лет назад 0
http://security.stackexchange.com/ faintsignal 7 лет назад 0

3 ответа на вопрос

2
dset0x

Fail2Banотлично подходит для автоматического запрета хостов, которые делают несколько неудачных попыток доступа к какой-либо службе с использованием iptables. Даже если вы в конечном итоге заблокируете себя, вы все равно можете получить новый IP (телефон с ssh-клиентом будет работать нормально) и отменить запрет.

Руководства, найденные с помощью поисковой системы, такой как Google, должны помочь вам быстро их настроить.

Как отметил в своем ответе HayekSplosives, переключение на нестандартный высокий порт очень помогает, так как большинство злоумышленников выполняют базовое сканирование портов, чтобы сэкономить время при сканировании большого диапазона IP-адресов. Я видел огромные падения при попытке доступа к порту 40000+ с 22.

С помощью fail2ban вы также можете указать время ожидания, чтобы попытки подключения с IP-адреса были заблокированы на X минут, поэтому, если вы в конечном итоге случайно заблокировали себя, вы можете повторить попытку через X минут - 10 - это достаточно времени для сделать чашку чаю FreudianSlip 11 лет назад 0
1
HayekSplosives

CentOS has iptables.

http://wiki.centos.org/HowTos/Network/IPTables

1.) You can configure CentOS to drop packets from anyone but a trusted (yours) ip address.

2.) You can configure ssh to listen to a non-standard port. Most attacks are coming from automated scripts on other compromised systems. Edit this in /etc/ssh/sshd_config

3.) You can set password authentication to "no" and install your machine's ssh key on the server.

что произойдет, если я сделаю номер 3 (ТОЛЬКО ключи ssh) и забуду свой ключ? я должен был бы заставить мой хост фактически пойти к машине и перезагрузить это вручную? slycat 11 лет назад 0
Да. Если вы забыли свой пароль закрытого ключа (если вы его установили) или потеряли один из обоих ключей (и не можете его восстановить), вам нужно сгенерировать новую пару ключей на вашем компьютере и вручную заменить ваш открытый ключ на сервере. jaume 11 лет назад 0
0
Petr Pudlák

Посмотрите на pam_shield . Он полностью блокирует IP-адреса, с которых слишком много неудачных попыток входа в систему.

Похожие вопросы