Как предотвратить грубую атаку на ssh?
Я бегу Centos. Как я могу лучше всего избежать атаки грубой силы на моем SSH-сервере?
Я нашел этот список:
DenyHosts is a Python based security tool for SSH servers. It is intended to prevent brute force attacks on SSH servers by monitoring invalid login attempts in the authentication log and blocking the originating IP addresses.
Explains how to setup DenyHosts under RHEL / Fedora and CentOS Linux.
Fail2ban is a similar program that prevents brute force attacks against SSH.
security/sshguard-pf protect hosts from brute force attacks against ssh and other services using pf.
security/sshguard-ipfw protect hosts from brute force attacks against ssh and other services using ipfw.
security/sshguard-ipfilter protect hosts from brute force attacks against ssh and other services using ipfilter.
security/sshblock block abusive SSH login attempts.
security/sshit checks for SSH/FTP bruteforce and blocks given IPs.
BlockHosts Automatic blocking of abusive IP hosts.
Blacklist Get rid of those bruteforce attempts.
Brute Force Detection A modular shell script for parsing application logs and checking for authentication failures. It does this using a rules system where application specific options are stored including regular expressions for each unique auth format.
IPQ BDB filter May be considered as a fail2ban lite.
У кого-нибудь есть опыт работы с любым из них?
3 ответа
Fail2Ban
отлично подходит для автоматического запрета хостов, которые делают несколько неудачных попыток доступа к какой-либо службе с использованием iptables. Даже если вы в конце концов забаните себя, вы все равно можете получить новый IP-адрес (телефон с ssh-клиентом будет работать нормально) и отменить запрет.
Руководства, найденные с помощью поисковой системы, такой как Google, должны помочь вам быстро их настроить.
Как отметил в своем ответе HayekSplosives, переключение на нестандартный порт с высокой скоростью очень помогает, поскольку большинство злоумышленников выполняют базовое сканирование портов, чтобы сэкономить время при сканировании большого диапазона IP-адресов. Я видел огромные падения при попытке доступа к порту 40000+ с 22.
У CentOS есть iptables.
http://wiki.centos.org/HowTos/Network/IPTables
1.) Вы можете настроить CentOS для отбрасывания пакетов с любого, кроме доверенного (вашего) IP-адреса.
2.) Вы можете настроить ssh для прослушивания нестандартного порта. Большинство атак происходит от автоматизированных сценариев на других скомпрометированных системах. Отредактируйте это в / etc / ssh / sshd_config
3.) Вы можете установить пароль аутентификации на "нет" и установить ключ ssh вашей машины на сервере.
Посмотрите на pam_shield. Он полностью блокирует IP-адреса, с которых слишком много неудачных попыток входа в систему.