1

Мой сервер находится под атакой. Я регистрирую такие попытки:

Sep 22 06:39:11 s1574**** sshd[16453]: Failed password for invalid user amber from        64.215.17.4 port 35182 ssh2
Sep 22 04:39:11 s1574**** sshd[16454]: Received disconnect from 64.215.17.4: 11: Bye Bye
Sep 22 06:39:11 s1574**** sshd[16457]: Invalid user amber from 64.215.17.4
Sep 22 04:39:11 s1574**** sshd[16458]: input_userauth_request: invalid user amber
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): check pass; user unknown
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): authentication failure;     logname= uid=0 euid=0 tty=ssh ruser= rhost=dns2.rsd.com 
Sep 22 06:39:11 s1574**** sshd[16457]: pam_succeed_if(sshd:auth): error retrieving     information about user amber
Sep 22 06:39:14 s1574**** sshd[16457]: Failed password for invalid user amber from 64.215.17.4 port 35842 ssh2
Sep 22 04:39:14 s1574**** sshd[16458]: Received disconnect from 64.215.17.4: 11: Bye Bye

Что я могу сделать, чтобы заблокировать такого рода попытки доступа, что-то вроде блокировки ip, когда больше 3-х

|источник

3 ответа3

6

  1. Вы можете ограничить количество попыток входа в минуту с помощью iptables . Такие правила будут блокировать IP на одну минуту после трех попыток входа в систему (взято из « Дневника гика» - Смягчение атак SSH с использованием перебора с использованием Netfilter и recent модуля):

    iptables -A INPUT -p tcp --dport 22 -m состояние - состояние NEW -m недавно --m - последнее --set - имя SSH iptables -A INPUT -p tcp --dport 22 -m состояние - состояние NEW -j SSH_WHITELIST iptables -A ВХОД -p tcp --dport 22 -m состояние - состояние NEW -m недавно --mdupate --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force iptables -A INPUT -p tcp --dport 22 -m состояние - состояние NEW -m недавнее --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

  2. Если вы хотите более конфигурируемый сикитион, вы можете использовать fail2ban или DenyHosts для анализа журналов SSHd и блокировки подозрительных IP-адресов.

|источник
1

лучший способ - заблокировать все ненужные порты с помощью iptables и настроить ssh на использование закрытого ключа для входа в систему. Я знаю, что Putty и MobaXterm (оба бесплатных ssh-клиента) поддерживают вход в систему с закрытым ключом. затем внутри вашего /etc /ssh /sshd_config удалите 

PermitRootLogin yes

и добавить:

PermitRootLogin without-password

это сделает так, что даже если вы знаете пароль пользователя root, он не позволит вам войти с ним.

вы можете использовать правила iptables для их регулирования, чтобы они не перегружали ваш сервер

|источник
1

Установите программное обеспечение Denyhosts. Он автоматически выведет список таких хакерских IP-адресов на hosts.deny. Пакет доступен в репозитории epel.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .