Tự động từ chối các nỗ lực hack trong CentOS?

1

Máy chủ của tôi đang bị tấn công. Tôi đang đăng nhập loại thử này:

Sep 22 06:39:11 s1574**** sshd[16453]: Failed password for invalid user amber from        64.215.17.4 port 35182 ssh2
Sep 22 04:39:11 s1574**** sshd[16454]: Received disconnect from 64.215.17.4: 11: Bye Bye
Sep 22 06:39:11 s1574**** sshd[16457]: Invalid user amber from 64.215.17.4
Sep 22 04:39:11 s1574**** sshd[16458]: input_userauth_request: invalid user amber
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): check pass; user unknown
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): authentication failure;     logname= uid=0 euid=0 tty=ssh ruser= rhost=dns2.rsd.com 
Sep 22 06:39:11 s1574**** sshd[16457]: pam_succeed_if(sshd:auth): error retrieving     information about user amber
Sep 22 06:39:14 s1574**** sshd[16457]: Failed password for invalid user amber from 64.215.17.4 port 35842 ssh2
Sep 22 04:39:14 s1574**** sshd[16458]: Received disconnect from 64.215.17.4: 11: Bye Bye

Tôi có thể làm gì để chặn loại nỗ lực truy cập này, đại loại như chặn ip khi có hơn 3 denie

security  centos 
tàu vũ trụ
nguồn

Câu trả lời:

6

  1. Bạn có thể giới hạn số lần đăng nhập mỗi phút với iptables. Các quy tắc như vậy sẽ chặn IP trong một phút sau ba lần đăng nhập (được lấy từ Nhật ký của một người đam mê - Giảm thiểu chống lại các cuộc tấn công vũ phu của SSH bằng Netfilter và recentmô-đun ):

    iptables -A INPUT -p tcp --dport 22 -m state --state MỚI -m gần đây --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state MỚI -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state MỚI -m Recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state MỚI -m gần đây --update - giây thứ 60 --hitcount 4 --rttl --name SSH -j DROP

  2. Nếu bạn muốn sikytion có thể định cấu hình nhiều hơn, bạn có thể sử dụng fail2ban hoặc Denyhost để phân tích nhật ký SSHd và chặn các địa chỉ IP đáng ngờ.

một vùng đất
nguồn
cảm ơn vì đã trả lời, có cách nào để thực hiện điều tương tự khi thêm tệp từ chối_hosts mà iptables có thể đọc được không?
tàu vũ trụ
iptablesbản thân họ không thể đọc bất cứ điều gì từ tập tin. Có thể viết một tập lệnh phân tích tệp và thêm / xóa các quy tắc iptables. Bạn có thể, tuy nhiên, sử dụng /etc/hosts.denymà ảnh hưởng trực tiếp sshd.
aland
Ngoài ra, tôi đã cài đặt denyhosts có thêm ips của kẻ tấn công vào hosts.deny, nó hoạt động như một bùa mê!
spacebiker
1

cách tốt nhất là chặn tất cả các cổng không cần thiết bằng iptables và thiết lập ssh của bạn để sử dụng khóa riêng để đăng nhập. Tôi biết rằng Putty và MobaXterm (cả hai ứng dụng khách ssh miễn phí) đều hỗ trợ đăng nhập khóa riêng. sau đó bên trong / etc / ssh / sshd_config xóa

PermitRootLogin yes

và thêm:

PermitRootLogin without-password

điều này sẽ làm cho nó ngay cả khi bạn biết mật khẩu root, nó sẽ không cho phép bạn đăng nhập với nó.

bạn có thể sử dụng các quy tắc iptables để điều tiết chúng để chúng không làm hỏng máy chủ của bạn

Jacqueline Loriault
nguồn
1

Cài đặt phần mềm Denyhosts. Nó sẽ tự động liệt kê các IP của hacker đó đến hosts.deny. Gói có sẵn trên kho epel.

Nam Bộ
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.