บรรจวบ เข้าสู่ระบบ
Score:17
Ali avatar Server

ฉันจะปกป้อง SSH ได้อย่างไร

ธง id
Ali

ฉันตรวจสอบ /var/log/secure และฉันมีบันทึกเหล่านี้:

9 ก.ค. 13:02:56 localhost sshd[30624]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.172.1 37566
9 กรกฎาคม 13:02:57 localhost sshd[30624]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.172.1 พอร์ต 37566 [preauth]
9 กรกฎาคม 13:03:05 localhost sshd[30626]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.174.150 61445
9 กรกฎาคม 13:03:05 localhost sshd[30626]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.174.150 พอร์ต 61445 [preauth]
9 กรกฎาคม 13:03:16 localhost sshd[30628]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.169.37 62329
9 กรกฎาคม 13:03:24 localhost sshd[30628]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.169.37 พอร์ต 62329 [preauth]
9 กรกฎาคม 13:03:29 localhost sshd[30630]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.169.37 64099
9 กรกฎาคม 13:03:30 localhost sshd[30630]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.169.37 พอร์ต 64099 [preauth]
9 กรกฎาคม 13:03:45 localhost sshd[30632]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.174.150 22816
9 กรกฎาคม 13:03:46 localhost sshd[30632]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.174.150 พอร์ต 22816 [preauth]
9 กรกฎาคม 13:06:17 localhost sshd[30637]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.168.33 33176
9 กรกฎาคม 13:06:17 localhost sshd[30637]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.168.33 พอร์ต 33176 [preauth]
9 กรกฎาคม 13:07:09 localhost sshd[30639]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.173.152 61780
9 กรกฎาคม 13:07:25 localhost sshd[30641]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.168.33 54200
9 กรกฎาคม 13:07:26 localhost sshd[30641]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.168.33 พอร์ต 54200 [preauth]
...

ดูเหมือนว่ามีคนพยายามเข้าสู่ระบบโดย SSH ฉันปิดใช้งานการเข้าสู่ระบบโดยผู้ใช้รูทและเปิดใช้งานการเข้าสู่ระบบด้วยรหัสสาธารณะ/ส่วนตัว แต่นี่เป็นการโจมตี DDoS หรือไม่ และมันใช้ RAM/CPU หรือเปล่า?

ฉันควรทำอย่างไรดี?

4074
7 + 2
marcelm avatar
ng flag
marcelm
_"ฉัน [...] เปิดใช้งานการเข้าสู่ระบบด้วยรหัสสาธารณะ/ส่วนตัว, ..."_ - แต่คุณปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านด้วยหรือไม่
10
ตอบกลับ
marcelm avatar
ng flag
marcelm
[คำตอบนี้](https://unix.stackexchange.com/a/503346/109651) ก็อาจสนใจเช่นกัน
0
ตอบกลับ
Score:45
avatar Server
ธง br
Simon Richter

นั่นเป็นเพียงเสียงพื้นหลังอินเทอร์เน็ตปกติของผู้คนที่สแกนหาเซิร์ฟเวอร์ที่มีช่องโหว่

คุณสามารถเพิ่มกฎ iptables เพื่อจำกัดอัตราการเชื่อมต่อขาเข้า (เช่น สี่ในสี่นาที) สำหรับการแก้ไขง่ายๆ (แต่นั่นจะล็อคคุณไม่ให้ใช้งานหากคุณเปิดการเชื่อมต่อมากเกินไปหรือมีคนปลอมแปลงแพ็กเก็ต SYN ที่มาจากที่อยู่ของคุณ):

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m ล่าสุด --update --seconds 240 --hitcount 4 --name ssh-v4 --mask 255.255.255.255 --rsource -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m ล่าสุด --set --name ssh-v4 --mask 255.255.255.255 --rsource -j ACCEPT

วิธีแก้ไขที่เหมาะสมคือการใช้เครื่องมือเช่น ล้มเหลว 2 แบน ที่แยกวิเคราะห์ไฟล์บันทึกสำหรับการเข้าสู่ระบบที่ล้มเหลวและสร้างกฎไฟร์วอลล์ตามต้องการ -- ต้องตั้งค่าอีกเล็กน้อย แต่ต้องมีการเชื่อมต่อที่สร้างไว้แล้วและการตรวจสอบสิทธิ์ที่ล้มเหลวเพื่อทริกเกอร์ ดังนั้นมันจะไม่ตอบสนองต่อความพยายามในการเชื่อมต่อปลอมแปลงหรือการเข้าสู่ระบบที่สำเร็จ เช่น วิธีการง่ายๆไม่

0 + 19
cn flag
njzk2
แล้วการเปลี่ยนพอร์ต ssh ล่ะ
4
ตอบกลับ
Michael Hampton avatar
cz flag
Michael Hampton
@ njzk2 มันทำให้ตัวเองไม่สะดวกเท่านั้น บอทจะพบพอร์ต ssh สำรองของคุณไม่ช้าก็เร็ว
11
ตอบกลับ
us flag
Jasen
ต้องเตรียมงานเพิ่มไหม บน Debian `apt-get install fail2ban` จะได้รับการป้องกันด้วยค่าดีฟอลต์ที่สมเหตุสมผล
3
ตอบกลับ
LinuxSecurityFreak avatar
ru flag
LinuxSecurityFreak
@MichaelHampton มีพอร์ต 65535 ฉันสงสัยว่าบอทจะรับช่วงดังกล่าว แต่ฉันอาจเข้าใจผิด คุณรู้ข้อเท็จจริงนี้หรือไม่?
3
ตอบกลับ
br flag
Simon Richter
@LinuxSecurityFreak มี [shodan](https://shodan.io)
7
ตอบกลับ
Michael Hampton avatar
cz flag
Michael Hampton
@LinuxSecurityFreak ฉันไม่ได้เปลี่ยนพอร์ต ssh เป็นการส่วนตัว แต่ฉันได้ยินคำบ่นมากมายจากผู้คนในช่วงหลายปีที่ผ่านมาที่ทำ และ _still_ มีบอทพยายาม ssh บนพอร์ตใหม่ที่พวกเขาเลือก แม้ว่ามันจะไม่ใช่สิ่งที่ชัดเจนเช่น 2222และแน่นอนว่าโชดันสแกนทุกอย่าง คุณมั่นใจได้ว่าไม่ใช่พวกเขาเพียงคนเดียว
1
ตอบกลับ
au flag
Jon Bentley
@MichaelHampton การเปลี่ยนพอร์ตจะกำจัดบอท *บางตัว* นอกจากนี้ ไม่สะดวกในทางใดบ้าง (นอกเหนือจากการตั้งค่าเริ่มต้น)
1
ตอบกลับ
cn flag
hardillb
@jonbentley ต้องจำไว้ว่าให้เปลี่ยนในทุกไคลเอนต์ที่คุณต้องการใช้เชื่อมต่อ การรักษาความปลอดภัยโดย Obscurity นั้นไม่ใช่การรักษาความปลอดภัยเลย คุณสามารถเช่าเครื่อง AWS สองเครื่องในราคาต่ำกว่า $50 ซึ่งจะสแกนพื้นที่ที่อยู่ IPv4 ทั้งหมดภายในเวลาไม่กี่ชั่วโมง ดีกว่าที่จะปิดกั้นผู้กระทำความผิดมากกว่าพยายามซ่อนตัวจากพวกเขา
3
ตอบกลับ
au flag
Jon Bentley
@hardillb "ต้องจำ" - ดูเหมือนกรณีการใช้งานเฉพาะเจาะจงมาก ฉันคิดว่าคนส่วนใหญ่ไม่ได้เปลี่ยนไปใช้ไคลเอนต์ใหม่บ่อยเกินไป (หรือหากพวกเขาจัดเตรียมอาจอยู่ในการควบคุมของพวกเขา) และสามารถจัดเก็บการตั้งค่าเพียงครั้งเดียวแล้วลืมมันไป (ใช้เช่น Ansible หรือ Stow หากคุณจัดเตรียมเครื่องจักรใหม่ บ่อย). "ความปลอดภัยโดยการปิดบังคือไม่มีความปลอดภัย" เป็นความเข้าใจผิดทั่วไป *โดยตัวของมันเอง* นั้นไม่ใช่การรักษาความปลอดภัย แต่เป็นส่วนที่ถูกต้องในการป้องกันในเชิงลึก และสามารถให้ประโยชน์เล็กน้อยเมื่อใช้อย่างถูกต้อง
2
ตอบกลับ
Jason avatar
cn flag
Jason
@LinuxSecurityFreak re: "มีพอร์ต 65535 ฉันสงสัยว่าบอทจะใช้ช่วงดังกล่าว" - ฉันก็สงสัยเช่นกันจนกระทั่งฉันเห็นไคลเอนต์ที่ย้ายพอร์ตไปยังบางอย่างเช่น 20502 มันถูกเผยแพร่บน shodan.io ในชื่อ พอร์ตที่เปิดและบริการได้รับการระบุอย่างถูกต้อง ประทับใจ. และมีสติ
1
ตอบกลับ
de flag
Christopher Schultz
ฉันมีผู้ให้บริการโครงสร้างพื้นฐานแนะนำให้ฉันเปลี่ยนพอร์ต sshd เมื่อนานมาแล้ว และฉันคิดว่ามันเป็นขยะทั้งหมด เหมือนกับหลายๆ ความคิดเห็นที่นี่ แต่ฉันก็ยังทำอยู่ดี และเรายังได้รับขยะ แต่เมื่อเทียบกับเซิร์ฟเวอร์ที่เรา _havent_ เปลี่ยนแปลงแล้ว พอร์ตต่างๆ แทบไม่ได้ใช้งานเลยเป็นเวลา 15 ปีแล้วที่ Shodan-fu ไม่มีบอทจำนวนมากที่ชี้ไปที่เซิร์ฟเวอร์ของเรา วายเอ็มเอ็มวี. นี่คือ *ไม่* การรักษาความปลอดภัยโดยความสับสน เป็นเพียงความคลุมเครือ ความปลอดภัยมาจากการใช้คีย์ ssh ที่คาดเดายากสำหรับการตรวจสอบสิทธิ์ ไม่ใช่รหัสผ่าน +1 สำหรับ fail2ban ด้วย :)
11
ตอบกลับ
se flag
slebetman
@LinuxSecurityFreak ดูคำถาม บอทนั้นกำลังลองใช้พอร์ตต่างๆ ไม่ใช่พอร์ต 22 ดังนั้นสำหรับ OP เขากำลังเผชิญกับบอทที่สแกนพอร์ตโดยเฉพาะและไม่พยายาม ssh บนพอร์ต 22
0
ตอบกลับ
tf flag
Pelle
ฉันไม่ไปดูขีดจำกัดอัตราตาบอดที่แสดงไว้ ซึ่งทำให้การ DoS-ed ออกจากเซิร์ฟเวอร์ของคุณเป็นเรื่องง่ายมาก แม้กระทั่งโดยการสแกนแบบสุ่ม
0
ตอบกลับ
John Mee avatar
il flag
John Mee
ประสบการณ์ส่วนตัวจริงที่นี่: การเปลี่ยนหมายเลขพอร์ตในขณะที่ไม่ใช่วิธีแก้ปัญหาที่แท้จริงเพื่อลดความเสี่ยง... อย่างน้อยก็ในโฮสต์รอง เมื่อรวมกับการตรวจสอบสิทธิ์ด้วยคีย์แล้วความพยายามน้อยที่สุดในการให้รางวัลอัตราส่วน - มีการเปลี่ยนแปลงสองบรรทัดและการรีสตาร์ทที่กระวนกระวายใจ
0
ตอบกลับ
br flag
Simon Richter
@Pelle ขีด จำกัด อัตราต่อ IP ต้นทางดังนั้นจึงเป็น "เท่านั้น" ที่เสี่ยงต่อการปฏิเสธบริการที่เป็นเป้าหมาย
0
ตอบกลับ
mx flag
Austin Hemmelgarn
@hardillb ใช่ มันเป็นแค่ความคลุมเครือ แต่ความคลุมเครือมักจะเพียงพอที่จะยับยั้งเปอร์เซ็นต์การโจมตีที่ไม่สำคัญที่นี่ บอทส่วนใหญ่จะไม่ลองใช้พอร์ตสำรองใดๆ เลย (พูดจากประสบการณ์ที่สั่งสมมานานกว่าทศวรรษที่นี่) เว้นแต่ว่าคุณจะถูกกำหนดเป้าหมายอย่างแข็งขัน ดังนั้นเพียงแค่เปลี่ยนพอร์ต แม้ว่าจะเป็นการเปลี่ยนแปลง “ พอร์ตสำรองที่เห็นได้ชัดก็เพียงพอที่จะลดจำนวนผู้โจมตีที่เป็นภัยคุกคามได้จริง
0
ตอบกลับ
user avatar
sa flag
user
@slebetman นั่นคือพอร์ตไคลเอนต์ มันไม่มีส่วนเกี่ยวข้องกับพอร์ตเซิร์ฟเวอร์ เนื่องจากหากตรวจสอบพอร์ตอื่นสำหรับเซิร์ฟเวอร์ มันจะไม่ปรากฏในบันทึก SSH
0
ตอบกลับ
tf flag
Pelle
@SimonRichter: ในกรณีนั้น ดำเนินการต่อไป :-)
0
ตอบกลับ
in flag
canton7
ประสบการณ์ส่วนตัวอีกเล็กน้อย: fail2ban ประสบความสำเร็จแทบไม่มีอะไรเลยในทางปฏิบัติที่นี่ การสแกน SSH ทั้งหมดที่ฉันได้รับนั้นมาจากบอทเน็ต ซึ่งแต่ละโฮสต์ระยะไกลพยายามเข้าสู่ระบบ 1 หรือ 2 ครั้งเท่านั้น ซึ่งไม่เพียงพอที่จะทำให้เกิดความล้มเหลว 2 แบน (คุณสามารถดูสิ่งนี้ได้ในบันทึกของ OP เช่นกัน) ปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านและใช้เฉพาะการตรวจสอบสิทธิ์คีย์สาธารณะ
0
ตอบกลับ
Score:9
Samuel Prevost avatar Server
ธง in
Samuel Prevost

ดังที่ @Simon Richter กล่าวถึงนั่นเป็นเพียงเสียงรบกวนจากอินเทอร์เน็ตและคุณไม่ควรกังวล สิ่งที่คุณต้องทำให้แน่ใจว่า:

การเปลี่ยนพอร์ตจะทำให้ปัญหาหมดไป แต่เปล่าเลย ความปลอดภัยผ่านความมืด และสามารถสร้างภาพลวงตาของความปลอดภัยในขณะที่ไม่มีเลย

ต่อไปนี้คือคำแนะนำอื่นๆ โดยรอบ SSH เช่นเดียวกับการโต้แย้งโต้แย้งกับข้อโต้แย้ง "แนวปฏิบัติที่ดีที่สุด" กระแสหลัก

0 + 0
Score:3
Criggie avatar Server
ธง in
Criggie

คุณอยู่ในอินเดีย? ที่อยู่ IP ทั้งหมดที่ระบุไว้อยู่ในบล็อก:

223.196.160.0 - 223.196.191.255

ซึ่งตามฐานข้อมูล WHOIS จัดสรรให้

รายละเอียด: Andhra Pradesh State FiberNet Limited
ที่อยู่: 10-2-1 ชั้น III, FDC Complex, AC Guards, Hyderabad, Andhra Pradesh-500028

วิธีแก้ไขระยะสั้นวิธีหนึ่งคือบล็อกทั้งบล็อก 223.196.160.0/19 ที่ไฟร์วอลล์ แต่นั่นเป็นการจัดการที่อยู่ IP แบบไมโครและกลายเป็นการต่อสู้ที่ยากเย็นแสนเข็ญ

แต่คุณสามารถปฏิเสธ ssh ทั้งหมดได้ ยกเว้น IP ต้นทางที่คุณรู้ว่าเชื่อถือได้ เพียงดูแลไม่ให้ล็อคตัวเองจากโฮสต์ของคุณเอง หากคุณไม่มี IP แบบคงที่ คุณสามารถอนุญาตการบล็อกหรืออาจดูที่การเรียกใช้เซิร์ฟเวอร์ VPN บนโฮสต์

หรือหากคุณไม่ต้องการอนุญาตการเชื่อมต่อ SSH จากอินเทอร์เน็ต เพียงปฏิเสธและเปิดใช้งานอีกครั้งเมื่อจำเป็นเท่านั้น

0 + 1
user10489 avatar
nc flag
user10489
หรือใช้การเคาะพอร์ตเพื่อไวท์ลิสต์ตัวคุณเองเมื่อ IP ของคุณเปลี่ยนแปลง
1
ตอบกลับ
Score:1
HatLess avatar Server
ธง in
HatLess

นี่คือสคริปต์ง่ายๆ ที่ฉันเขียนขึ้นเพื่อบล็อกความพยายามที่ไม่ได้รับอนุญาตทั้งหมดในการลงชื่อเข้าใช้เซิร์ฟเวอร์ dev ของฉัน

#!/bin/bash

ban=$HOME/banned.txt
b_log=/var/log/banned.log

บันทึก () {
แมว $แบน | ยูนิค >> $b_log
}

l_log () {
สุดท้ายb | awk '{ พิมพ์ $3 }' | sed -r '/(จันทร์|อังคาร|พุธ|พฤหัสบดี|ศุกร์|เสาร์|อาทิตย์|บูต|tty2)/d' | จัดเรียง | sed '/^$/d' | ยูนิค | ที$แบน
}

หยด () {
สำหรับ x ใน $(แมว $แบน); ทำ iptables -A INPUT -s $x -j DROP; เสร็จแล้ว
}

l_log
หยด
บันทึก
rm -f $แบน
เสียงสะท้อน > /var/log/btmp
iptables-บันทึก

หากคุณตั้งค่าสคริปต์ให้ทำงานผ่าน cron ทุก ๆ นาที มันจะลดสัญญาณรบกวนในบันทึกของคุณลงอย่างมาก และบล็อก IP ที่ละเมิด โดยให้เวลาเพียง 1 นาทีในการพยายามใช้ความรุนแรงก่อนที่จะถูกบล็อก

เป็นความคิดที่ดีที่จะแทรก IP ของคุณและ IP อื่น ๆ ที่คุณเข้าถึงเซิร์ฟเวอร์ด้วยไฟร์วอลล์ของคุณ iptables -I INPUT -s xxx.xx.xxx.xx -j ยอมรับ

ระบบจะสร้างบันทึกของ IP ที่ถูกแบนทั้งหมด

0 + 3
Criggie avatar
in flag
Criggie
ดังนั้นคุณกำลังใช้บันทึกผลลัพธ์ของ fail2ban และทิ้ง IP ต้นทางเหล่านั้นอย่างถาวรโดยใช้กฎ iptables ทำไมไม่เพียงแค่ปรับแต่ง iptables เพื่อปล่อยให้ที่อยู่ที่ไม่ดีถูกบล็อกอีกต่อไป นอกจากนี้ คุณยังเสี่ยงที่จะบล็อก IP ในเครื่องของคุณหากคุณป้อนรหัสผ่านผิดหรือรหัสผ่านที่คล้ายกัน ในขณะที่ fail2ban มีตัวเลือก "ห้ามบล็อกช่วงเหล่านี้"
0
ตอบกลับ
HatLess avatar
in flag
HatLess
ไม่ ฉันไม่ได้ใช้ fail2ban ใช้แค่ iptables ฉันได้รับข้อมูลจาก `lastb` ซึ่งเป็นการเข้าสู่ระบบที่ล้มเหลวครั้งล่าสุด จากนั้นจึงแยกเฉพาะ IP และวางทิ้ง
1
ตอบกลับ
iBug avatar
um flag
iBug
ฟังดูเหมือนคุณกำลังสร้าง Failed2ban ขึ้นมาใหม่ F2B เป็นเครื่องมือที่ครอบคลุมสำหรับงานนี้อยู่แล้ว ไม่มีเหตุผลที่จะปฏิเสธ
2
ตอบกลับ
Score:1
avatar Server
ธง de
user996142
  1. ใช้การรับรองความถูกต้องตามคีย์เท่านั้น บอทจำนวนมากโจมตีเฉพาะระบบที่ใช้รหัสผ่านเท่านั้น การใช้การรับรองความถูกต้องตามรหัสผ่านเป็นความคิดที่ไม่ดีอยู่ดี
  2. ใช้ https://www.sshguard.net/ : มันบล็อก IP หลังจากการเข้าสู่ระบบที่ล้มเหลวสองสามครั้ง
  3. ใช้พอร์ตแบบสุ่ม (ไม่ใช่ 22) มันจะหยุดบอทบางตัว
  4. ตรวจสอบให้แน่ใจว่าระบบของคุณไม่อนุญาตให้เข้าสู่ระบบรูท
  5. หากคุณเข้าสู่ระบบจากที่บ้านเท่านั้น ให้ลองเปิด SSH สำหรับ IP/ISP หรือประเทศของคุณเท่านั้น
0 + 0
Score:1
cyqsimon avatar Server
ธง ck
cyqsimon

1. เปลี่ยนของคุณ sshd พอร์ตการฟัง

ฟังดูง่าย แค่เปลี่ยนพอร์ตของคุณจากค่าเริ่มต้น 22 เป็นค่าที่กำหนดเอง (เช่น 2200) บน IP สาธารณะสามารถลดจำนวนการสแกนพอร์ตจากหลายพันต่อวันเหลือไม่กี่โหล สำหรับบทช่วยสอนดู ที่นี่.

ดังที่ได้กล่าวไปแล้ว แม้ว่าสิ่งนี้จะลดความน่ารำคาญของการสแกนพอร์ตลงได้ ไม่ ให้ความปลอดภัยอย่างแท้จริง "ความปลอดภัยโดยความสับสน" เป็นตำนานและไม่มีอะไรมาก

2. ใช้การเข้าสู่ระบบด้วยรหัสสาธารณะและปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่าน

บอทอาจคาดเดารหัสผ่านได้ถูกต้อง แต่พวกเขาเดาถูก ไม่เคย จะเดาคีย์ส่วนตัวถูก ตราบใดที่คุณใช้อัลกอริทึมที่ทันสมัย ​​และไม่ทำให้คีย์ของคุณรั่วโดยไม่ตั้งใจ สำหรับบทช่วยสอนดู ที่นี่.

โปรดทราบว่านี่หมายความว่าคุณจะไม่สามารถเข้าสู่ระบบจากเครื่องสุ่มใดๆ ได้อีกต่อไป เว้นแต่คุณจะพกกุญแจติดตัวไปด้วย (ซึ่งคุณต้องรักษาความปลอดภัยด้วยวิธีอื่น)

3. ใช้fail2ban

ถ้าพวกเขาล้มเหลว 5 ครั้ง แบนพวกเขาจากการพยายามอีกครั้งหนึ่งวันหรือบางอย่าง นั่นจะแสดงให้พวกเขาเห็น มีประสิทธิภาพมากในการพยายามใช้กำลังดุร้าย สำหรับบทช่วยสอนดู ที่นี่.

ข้อเสียคือคุณอาจล็อกตัวเองไม่ได้หากวันหนึ่งคุณมีอาการนิ้วสั่น (เมาหรืออะไร ฉันไม่รู้)

4. แบนรายการ IP ล่วงหน้าที่ทราบกันดีว่าใช้งานในทางที่ผิด

แหล่งที่มาเช่น ละเมิดIPDB รักษารายการใหญ่ของ IP ที่เป็นอันตรายที่รู้จักซึ่งเข้าถึงได้ผ่าน API คุณจะต้องใช้รหัส API เพื่อใช้งาน แต่คุณสามารถลงทะเบียนบัญชีฟรีได้ง่ายพอ ดึงรายการและใช้สิ่งที่ต้องการ iptables เพื่อแบน IP ที่รู้จักเหล่านั้นเป็นกลุ่ม ตั้งค่า cron job ให้เป็นอัตโนมัติเป็นระยะเพื่อให้ได้ผลดีที่สุด นี่ สคริปต์ง่ายๆ ที่ฉันเขียน (และฉันใช้เป็นการส่วนตัว) เพื่อทำสิ่งนั้น อย่าลังเลที่จะใช้เป็นข้อมูลอ้างอิง แต่ อย่าใช้มันในการผลิต.

จากประสบการณ์ส่วนตัวของฉัน วิธีนี้ได้ผลพอๆ กัน (ถ้าไม่มากกว่านั้น) เช่นเดียวกับวิธีที่ #3

โดยส่วนตัวแล้ว ฉันใช้ทั้ง 4 วิธีที่ระบุไว้ข้างต้น และ VPS ของฉันอาจได้รับการพยายามเข้าสู่ระบบที่เป็นอันตรายอย่างน้อยหนึ่งหรือสองครั้งในบันทึกความปลอดภัยของฉันในเดือนที่ไม่ดี นี่คือประวัติการสกัดกั้นของ iptables ผ่านวิธีที่ #4:

$ abip-hist
โซ่ abip-ban (1 อ้างอิง)
 pkts bytes target prot เลือกใช้ปลายทางต้นทาง
  362 14480 วางทั้งหมด -- * * 45.143.200.6 0.0.0.0/0
  307 12280 วางทั้งหมด -- * * 185.156.73.104 0.0.0.0/0
  288 12672 วางทั้งหมด -- * * 212.133.164.75 0.0.0.0/0
  277 19911 วางทั้งหมด -- * * 146.88.240.4 0.0.0.0/0
  250 11000 DROP ทั้งหมด -- * * 212.133.164.14 0.0.0.0/0
  230 9200 DROP ทั้งหมด -- * * 45.146.164.213 0.0.0.0/0
  215 8600 DROP ทั้งหมด -- * * 185.156.73.67 0.0.0.0/0
  214 8560 DROP ทั้งหมด -- * * 5.188.206.18 0.0.0.0/0
  202 8080 วางทั้งหมด -- * * 193.27.228.63 0.0.0.0/0
  201 8040 วางทั้งหมด -- * * 193.27.228.64 0.0.0.0/0
  199 7960 วางทั้งหมด -- * * 193.27.228.59 0.0.0.0/0
  197 7880 วางทั้งหมด -- * * 193.27.228.65 0.0.0.0/0
  197 7880 วางทั้งหมด -- * * 193.27.228.61 0.0.0.0/0
  196 7840 วางทั้งหมด -- * * 45.135.232.119 0.0.0.0/0
  196 7840 วางทั้งหมด -- * * 193.27.228.60 0.0.0.0/0
  196 7840 วางทั้งหมด -- * * 193.27.228.58 0.0.0.0/0
  189 7560 วางทั้งหมด -- * * 45.146.165.149 0.0.0.0/0
  184 7360 DROP ทั้งหมด -- * * 45.155.205.247 0.0.0.0/0
  184 7360 วางทั้งหมด -- * * 195.54.160.228 0.0.0.0/0
  182 7280 วางทั้งหมด -- * * 45.143.203.12 0.0.0.0/0
  181 7240 วางทั้งหมด -- * * 45.141.84.57 0.0.0.0/0
  180 7200 DROP ทั้งหมด -- * * 45.135.232.85 0.0.0.0/0
  176 7040 DROP ทั้งหมด -- * * 45.146.165.148 0.0.0.0/0
...
สิ่งนี้ดำเนินต่อไปสำหรับ 1,700 บรรทัด ...

เวลาทำงาน $
06:36:49 น. 16 วัน, 15:24 น
0 + 1
Z4-tier avatar
us flag
Z4-tier
+1 สำหรับ "เปลี่ยนพอร์ตของคุณ" อย่าเปลี่ยนเป็นสิ่งที่น่าดึงดูดพอๆ กัน (หรือมากกว่านั้น) สำหรับผู้โจมตี ใช้พอร์ตที่คลุมเครือ ไม่ได้กำหนด หมายเลขสูงกว่า บางสิ่งบางอย่างที่สูงกว่า 10,000 ฉันเคยเรียกใช้ ssh บน 23 (พอร์ต telnet) เพียงเพื่อ *ha-ha's* และว้าวนั่นได้รับการเชื่อมต่อมากมาย
0
ตอบกลับ
Score:0
avatar Server
ธง er
lev

ดังที่คำตอบอื่นๆ กล่าวไว้ คุณไม่จำเป็นต้องกังวลเกี่ยวกับเรื่องนี้มากนัก แต่ถ้าคุณต้องการเพิ่มความปลอดภัยอีกชั้นหนึ่ง คุณสามารถลองใช้การเคาะพอร์ตได้

แนวคิดคือการปิดพอร์ต ssh ไว้ และเปิดเป็น ips เท่านั้น ซึ่งดำเนินการตามลำดับการทำงานเฉพาะก่อนหน้านี้ เช่น:

ซิงค์พอร์ต 1,000
ซิงค์พอร์ต 2000
ซิงค์พอร์ต 3000
# พอร์ต ssh เปิดอยู่
จุ๊ ...

สามารถดูรายละเอียดเพิ่มเติมได้ที่นี่: https://www.rapid7.com/blog/post/2017/10/04/how-to-secure-ssh-server-using-port-knocking-on-ubuntu-linux/

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา