Bạn sử dụng công cụ hoặc kỹ thuật nào để ngăn chặn các cuộc tấn công vũ phu chống lại cổng ssh của bạn. Tôi nhận thấy trong nhật ký bảo mật của mình, rằng tôi có hàng triệu lần thử đăng nhập như nhiều người dùng khác nhau thông qua ssh.
Đây là trên một hộp FreeBSD, nhưng tôi tưởng tượng nó sẽ được áp dụng ở bất cứ đâu.
Câu trả lời:
Đây là một bài viết hay về chủ đề đó của Rainer Doesmann.
Nó giải thích những ưu và nhược điểm của các phương pháp luận án để làm điều đó:
Tôi sử dụng fail2ban , nó sẽ khóa IP sau một vài lần thất bại trong một khoảng thời gian có thể định cấu hình.
Kết hợp điều này với kiểm tra độ mạnh của mật khẩu (sử dụng john (John the Ripper)) để đảm bảo các cuộc tấn công vũ phu sẽ không thành công.
TARPITmục tiêu, nếu bạn cảm thấy khó chịu (từ xtables-addons).
Điều nhỏ bạn có thể làm là sử dụng một cái gì đó như Denyhosts:
http://denyhosts.sourceforge.net/
Nó sử dụng hosts.allow / hosts.deny tích hợp để chặn những kẻ lạm dụng SSH.
Một trong những cách dễ nhất để tránh các cuộc tấn công này là thay đổi cổng mà sshd lắng nghe
Như Chris chỉ ra, sử dụng khóa mã hóa thay vì mật khẩu.
Thêm vào đó:
Có bao nhiêu người hoặc địa điểm (với IP công cộng nổi) mà bạn thực sự cần truy cập vào các kết nối ssh công cộng của bạn?
Tùy thuộc vào số lượng máy chủ ssh công cộng bạn đang duy trì và liệu bạn có thể thu hẹp tiêu chí kết nối chung của mình hay không, đó có thể là cấu hình đơn giản hơn, có thể bảo trì để giới hạn quyền truy cập vào một số máy chủ bên ngoài.
Nếu điều này làm việc cho bạn, nó thực sự có thể đơn giản hóa chi phí quản trị của bạn.
Ngoài các đề xuất tốt khác, một điều thực sự dễ dàng là kết nối đến giới hạn tốc độ. Giới hạn ở 3 kết nối mỗi phút trên mỗi IP:
iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Sử dụng tùy chọn "Cho phép người dùng" trong sshd_config để đảm bảo chỉ một nhóm nhỏ người dùng có thể đăng nhập. Tất cả những người khác sẽ bị từ chối, ngay cả khi tên người dùng và mật khẩu của họ là chính xác.
Bạn thậm chí có thể hạn chế người dùng đăng nhập từ một máy chủ cụ thể.
ví dụ,
AllowUsers user1 user2@host.example.com
Điều này sẽ giảm không gian tìm kiếm và tránh những người dùng cũ vô tình bị bỏ lại hoặc bật (mặc dù tất nhiên những thứ này nên bị vô hiệu hóa, đây là cách dễ dàng để ngăn họ sử dụng cho mục nhập dựa trên SSH).
Điều này không hoàn toàn ngăn chặn các cuộc tấn công vũ phu, nhưng giúp giảm thiểu rủi ro.
Sử dụng một cái gì đó như thế với PF:
bảng <ssh-brute> liên tục
chặn trong nhật ký nhanh từ nhãn ssh_brute
truyền vào $ ext_if proto tcp đến ($ ext_if) cổng ssh điều biến trạng thái \
(max-src-Conn-Rate 3/10, quá tải toàn cầu)
Port-knocking là một cách khá vững chắc để loại bỏ những thứ này. Hơi khó hiểu, đôi khi gây phiền nhiễu, nhưng nó chắc chắn làm cho vấn đề biến mất.
Bối cảnh rất quan trọng, nhưng tôi muốn giới thiệu một cái gì đó như vậy:
Hơn nữa đối với đề xuất giới hạn tỷ lệ của sherbang , độ dài của độ trễ là rất quan trọng. Bằng cách tăng độ trễ giữa các nhóm 3 lần đăng nhập từ 2 phút lên 20 phút, số lượng địa chỉ IP khác nhau đã thực hiện nhiều hơn ba lần đăng nhập đã giảm, so sánh hai khoảng thời gian dài một tuần trên một máy của tôi, từ 44 lần thử thành 3 Không ai trong số ba địa chỉ đó cố gắng lâu hơn 11 giờ.
Rất giai thoại, nhưng auth.log trở nên dễ đọc hơn đối với tôi ...
Tôi không quan tâm đến nó. Hãy để họ ra khỏi cảng, họ sẽ không bắt bẻ chìa khóa.
cài đặt OSSEC. không chỉ giám sát các lần đăng nhập lặp đi lặp lại, nó sẽ vào một khối tạm thời với iptables cho ip vi phạm. Và cuối cùng, nó sẽ gửi cho bạn một bản báo cáo nêu chi tiết. Nó ghi lại tất cả mọi thứ, đó là tốt đẹp. Ai đó đã từng thử hơn 8000 tên đăng nhập để đăng nhập. tôi đã phân tích các bản ghi và nhận được một danh sách người dùng tốt đẹp;)