अपने ssh पोर्ट के खिलाफ क्रूर बल के हमलों को रोकने के लिए आप किस उपकरण या तकनीक का उपयोग करते हैं। मैंने अपने सुरक्षा लॉग में देखा, कि मेरे पास ssh के माध्यम से विभिन्न उपयोगकर्ताओं के रूप में लॉगिन करने के लाखों प्रयास हैं।
यह एक FreeBSD बॉक्स पर है, लेकिन मुझे लगता है कि यह कहीं भी लागू होगा।
जवाबों:
यहाँ रेनर विचमन द्वारा उस विषय पर एक अच्छी पोस्ट है ।
यह पेशेवरों और इसे करने के लिए शोध के तरीकों पर विचार करता है:
मैं fail2ban का उपयोग करता हूं जो कि एक विन्यास योग्य समय के लिए कई असफल प्रयासों के बाद एक आईपी को लॉक कर देगा।
यह सुनिश्चित करने के लिए पासवर्ड शक्ति परीक्षण ( जॉन (जॉन द रिपर का उपयोग करके ) के साथ गठबंधन करें कि यह सुनिश्चित करने के लिए कि ब्रूट-फोर्स हमले सफल नहीं होंगे।
TARPITलक्ष्य पर tcp ट्रैफ़िक भेजता है , यदि आप बुरा महसूस कर रहे हैं (xtables-addons से)।
ओन्स छोटी सी चीज जो आप कर सकते हैं वह है DenyHosts जैसे कुछ का उपयोग करें:
http://denyhosts.sourceforge.net/
यह SSH अपहर्ताओं को रोकने के लिए अंतर्निहित hosts.allow / hosts.deny का उपयोग करता है।
इन हमलों से बचने के सबसे आसान तरीकों में से एक बंदरगाह को बदलना है जो sshd सुनता है
जैसा कि क्रिस बताते हैं, पासवर्ड के बजाय एन्क्रिप्शन कुंजी का उपयोग करें।
इसमें जोड़ें:
कितने लोगों या स्थानों (अस्थायी आईपी के साथ) क्या आपको वास्तव में अपने सार्वजनिक ssh कनेक्शन तक पहुँचने की आवश्यकता है?
आपके द्वारा बनाए जा रहे सार्वजनिक ssh होस्ट की संख्या के आधार पर और क्या आप अपने सामान्य कनेक्शन मानदंड को कम कर सकते हैं, तो कुछ बाहरी होस्ट तक पहुँच को सीमित करने के लिए यह एक सरल, मुख्य विन्यास हो सकता है।
यदि यह आपके लिए काम करता है, तो यह वास्तव में आपके प्रशासन को सरल बना सकता है।
अन्य अच्छे सुझावों के अलावा, एक बहुत ही आसान काम है रेट-इनकमिंग कनेक्शन। प्रति आईपी प्रति मिनट 3 कनेक्शन की सीमा:
iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Sshd_config में "AllowUsers" विकल्प का उपयोग केवल यह सुनिश्चित करने के लिए करें कि उपयोगकर्ताओं का एक छोटा समूह बिल्कुल लॉग इन कर सकता है। अन्य सभी अस्वीकृत हो जाएंगे, भले ही उनका उपयोगकर्ता नाम और पासवर्ड सही हो।
आप किसी विशेष होस्ट से उपयोगकर्ताओं को लॉगिन करने के लिए भी प्रतिबंधित कर सकते हैं ।
जैसे,
AllowUsers user1 user2@host.example.com
यह खोज-स्थान को कम कर देगा और उन पुराने उपयोगकर्ताओं से बचना होगा जो गलती से इधर-उधर बिछा दिए गए या सक्षम हो गए हैं (हालाँकि ये निश्चित रूप से वैसे भी अक्षम होने चाहिए, यह SSH- आधारित प्रविष्टि के लिए उपयोग होने से रोकने का एक आसान तरीका है)।
यह पूरी तरह से जानवर के बल के हमलों को नहीं रोकता है, लेकिन जोखिम को कम करने में मदद करता है।
पीएफ के साथ कुछ इस तरह का उपयोग करें:
तालिका <ssh-जानवर> जारी रहती
लेबल ssh_brute से जल्दी लॉग में ब्लॉक
मिलाना राज्य \ ($ ext_if) बंदरगाह ssh करने के लिए $ ext_if आद्य टीसीपी पर में पारित
(अधिकतम-src-कॉन-दर 3/10, फ्लश वैश्विक ओवरलोड)
पोर्ट-नॉकिंग इस तरह की चीज़ को बाहर रखने का एक बहुत ही ठोस तरीका है। कभी-कभी थोड़े से झगड़े, कभी-कभी गुस्सा करते हैं, लेकिन यह निश्चित रूप से इस मुद्दे को दूर कर देता है।
संदर्भ महत्वपूर्ण है, लेकिन मैं ऐसा कुछ सुझाऊंगा:
करने के लिए इसके अलावा sherbang की दर को सीमित सुझाव , देरी की लंबाई महत्वपूर्ण है। 3 लॉगिन प्रयासों के समूहों के बीच देरी को 2 मिनट से 20 मिनट तक बढ़ाकर, अलग-अलग आईपी पते की संख्या जो लॉगिन करने के तीन से अधिक प्रयासों को गिराती है, मेरी एक मशीन पर दो सप्ताह-लंबी अवधि की तुलना, 44 प्रयासों से 3 तक उन तीन पतों में से कोई भी 11 घंटे से अधिक समय तक प्रयास नहीं करता था।
बहुत किस्सा है, लेकिन मेरे लिए एक बहुत कुछ पठनीय बन गया है ...
मुझे इसकी परवाह नहीं है। उन्हें बंदरगाह पर बेल्ट से दूर जाने दें, वे एक प्रमुख शक्ति को भंग करने के लिए नहीं जा रहे हैं।
OSSEC स्थापित करें। यह न केवल बार-बार लॉगिन के लिए मॉनिटर करता है, यह आक्रामक आईपी के लिए iptables के साथ एक अस्थायी ब्लॉक में प्रवेश करेगा। और अंत में यह आपको विवरण बताते हुए एक रिपोर्ट भेजेगा। यह सब कुछ लॉग करता है, जो अच्छा है। एक बार में लॉग इन करने के लिए सोमोन ने 8000 से अधिक लॉगिन नामों की कोशिश की। मैंने लॉग को पार्स कर दिया और एक अच्छी उपयोगकर्ता सूची प्राप्त कर ली;)