Как защитить себя от неудачных попыток входа в систему?
Каждый раз, когда я получаю доступ к своему VPS через PuTTY, я вижу это:
Last failed login: Fri Oct 6 17:25:58 UTC 2017 from xx.xxx.xxx.xxx on ssh:notty
There were 2381935 failed login attempts since the last successful login.
Last login: Tue Sep 26 09:30:02 2017 from xx.xxx.xxx.xxx
Я не знаю, это связано, но когда я вхожу в систему, загрузка занимает больше времени, на других серверах, которые не получают столько неудачных попыток входа, сколько этот, время загрузки намного меньше.
Можете ли вы сказать мне, если это много попыток входа в систему влияет на производительность сервера? И есть ли способ, которым я могу защитить от этого? Я имею в виду, что мой пароль для серверов вроде как невозможно взломать, но есть ли способ избежать неудачных попыток входа в систему?
Системные характеристики:
- Название иконы: computer-vm
- Шасси: вм
- Виртуализация: KVM
- Операционная система: CentOS Linux 7 (Core)
- Название ОС CPE: cpe:/o:centos:centos:7
- Ядро: Linux 3.10.0-514.26.2.el7.x86_64
- Архитектура: x86-64
2 ответа
Таким образом, это может быть гораздо более простым решением.
Информация, которую вы разместили, показывает, что 2 381 935 неудачных попыток входа в систему. Что довольно безумно. Позвольте мне угадать: пользователь, который вы входите, как есть... root? Что ж, в то время как Fail2Ban является достойным решением для отлова нежелательных попыток входа в систему, существует гораздо более простое решение: создать новую учетную запись с новым именем, которое не root, дайте этому пользователю права администратора через Sudo и затем отключите root,
В общем, любой сервер Linux в 2017 году должен просто не иметь актуального root аккаунт активен и пригоден для использования по любой причине. У каждого "сценариста" в мире есть тонны паршивых скриптов, которые пытаются взломать root учетная запись. И у каждого опытного хакера есть инструменты, которые пытаются взломать root,
Создавая новую учетную запись пользователя под некоторым остроумным общим именем, вы можете придумать и отключить root вы мгновенно уменьшите свою поверхность атаки и закроете эту потенциальную точку вторжения практически без усилий.
Некоторые системные администраторы не любят отключать root из-за лени, но если вы как-то не ограничиваете доступ к серверу какими-либо другими средствами - такими как настройки брандмауэра на основе отфильтрованных IP-адресов или MAC-адресов и т. д., - вы открываете свой сервер на риск.
В дополнение к fail2ban (как это было предложено другими), я бы настроил сервер OpenVPN на VPS, а затем клиента в вашей системе, а затем использовал клиента OpenVPN на ваших клиентах (-ах) - и использовал брандмауэр для ограничения количества входящих соединений. из VPN. Это поможет, добавив дополнительный уровень защиты / шифрования и скрывая SSH.
Если люди пытаются и не могут подключиться, это может потратить значительные ресурсы, но это может быть что-то другое (ненастроенный обратный DNS, переподписанный диск). Посмотрите на время вверх и вверх, чтобы увидеть, что замедляет ход событий.