Score:17

ฉันจะปกป้อง SSH ได้อย่างไร

ธง id
Ali

ฉันตรวจสอบ /var/log/secure และฉันมีบันทึกเหล่านี้:

9 ก.ค. 13:02:56 localhost sshd[30624]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.172.1 37566
9 กรกฎาคม 13:02:57 localhost sshd[30624]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.172.1 พอร์ต 37566 [preauth]
9 กรกฎาคม 13:03:05 localhost sshd[30626]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.174.150 61445
9 กรกฎาคม 13:03:05 localhost sshd[30626]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.174.150 พอร์ต 61445 [preauth]
9 กรกฎาคม 13:03:16 localhost sshd[30628]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.169.37 62329
9 กรกฎาคม 13:03:24 localhost sshd[30628]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.169.37 พอร์ต 62329 [preauth]
9 กรกฎาคม 13:03:29 localhost sshd[30630]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.169.37 64099
9 กรกฎาคม 13:03:30 localhost sshd[30630]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.169.37 พอร์ต 64099 [preauth]
9 กรกฎาคม 13:03:45 localhost sshd[30632]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.174.150 22816
9 กรกฎาคม 13:03:46 localhost sshd[30632]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.174.150 พอร์ต 22816 [preauth]
9 กรกฎาคม 13:06:17 localhost sshd[30637]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.168.33 33176
9 กรกฎาคม 13:06:17 localhost sshd[30637]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.168.33 พอร์ต 33176 [preauth]
9 กรกฎาคม 13:07:09 localhost sshd[30639]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.173.152 61780
9 กรกฎาคม 13:07:25 localhost sshd[30641]: ผู้ดูแลระบบผู้ใช้ไม่ถูกต้องจากพอร์ต 223.196.168.33 54200
9 กรกฎาคม 13:07:26 localhost sshd[30641]: การเชื่อมต่อถูกปิดโดยผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้อง 223.196.168.33 พอร์ต 54200 [preauth]
...

ดูเหมือนว่ามีคนพยายามเข้าสู่ระบบโดย SSH ฉันปิดใช้งานการเข้าสู่ระบบโดยผู้ใช้รูทและเปิดใช้งานการเข้าสู่ระบบด้วยรหัสสาธารณะ/ส่วนตัว แต่นี่เป็นการโจมตี DDoS หรือไม่ และมันใช้ RAM/CPU หรือเปล่า?

ฉันควรทำอย่างไรดี?

marcelm avatar
ng flag
_"ฉัน [...] เปิดใช้งานการเข้าสู่ระบบด้วยรหัสสาธารณะ/ส่วนตัว, ..."_ - แต่คุณปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านด้วยหรือไม่
marcelm avatar
ng flag
[คำตอบนี้](https://unix.stackexchange.com/a/503346/109651) ก็อาจสนใจเช่นกัน
Score:45
ธง br

นั่นเป็นเพียงเสียงพื้นหลังอินเทอร์เน็ตปกติของผู้คนที่สแกนหาเซิร์ฟเวอร์ที่มีช่องโหว่

คุณสามารถเพิ่มกฎ iptables เพื่อจำกัดอัตราการเชื่อมต่อขาเข้า (เช่น สี่ในสี่นาที) สำหรับการแก้ไขง่ายๆ (แต่นั่นจะล็อคคุณไม่ให้ใช้งานหากคุณเปิดการเชื่อมต่อมากเกินไปหรือมีคนปลอมแปลงแพ็กเก็ต SYN ที่มาจากที่อยู่ของคุณ):

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m ล่าสุด --update --seconds 240 --hitcount 4 --name ssh-v4 --mask 255.255.255.255 --rsource -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m ล่าสุด --set --name ssh-v4 --mask 255.255.255.255 --rsource -j ACCEPT

วิธีแก้ไขที่เหมาะสมคือการใช้เครื่องมือเช่น ล้มเหลว 2 แบน ที่แยกวิเคราะห์ไฟล์บันทึกสำหรับการเข้าสู่ระบบที่ล้มเหลวและสร้างกฎไฟร์วอลล์ตามต้องการ -- ต้องตั้งค่าอีกเล็กน้อย แต่ต้องมีการเชื่อมต่อที่สร้างไว้แล้วและการตรวจสอบสิทธิ์ที่ล้มเหลวเพื่อทริกเกอร์ ดังนั้นมันจะไม่ตอบสนองต่อความพยายามในการเชื่อมต่อปลอมแปลงหรือการเข้าสู่ระบบที่สำเร็จ เช่น วิธีการง่ายๆไม่

cn flag
แล้วการเปลี่ยนพอร์ต ssh ล่ะ
Michael Hampton avatar
cz flag
@ njzk2 มันทำให้ตัวเองไม่สะดวกเท่านั้น บอทจะพบพอร์ต ssh สำรองของคุณไม่ช้าก็เร็ว
us flag
ต้องเตรียมงานเพิ่มไหม บน Debian `apt-get install fail2ban` จะได้รับการป้องกันด้วยค่าดีฟอลต์ที่สมเหตุสมผล
LinuxSecurityFreak avatar
ru flag
@MichaelHampton มีพอร์ต 65535 ฉันสงสัยว่าบอทจะรับช่วงดังกล่าว แต่ฉันอาจเข้าใจผิด คุณรู้ข้อเท็จจริงนี้หรือไม่?
br flag
@LinuxSecurityFreak มี [shodan](https://shodan.io)
Michael Hampton avatar
cz flag
@LinuxSecurityFreak ฉันไม่ได้เปลี่ยนพอร์ต ssh เป็นการส่วนตัว แต่ฉันได้ยินคำบ่นมากมายจากผู้คนในช่วงหลายปีที่ผ่านมาที่ทำ และ _still_ มีบอทพยายาม ssh บนพอร์ตใหม่ที่พวกเขาเลือก แม้ว่ามันจะไม่ใช่สิ่งที่ชัดเจนเช่น 2222และแน่นอนว่าโชดันสแกนทุกอย่าง คุณมั่นใจได้ว่าไม่ใช่พวกเขาเพียงคนเดียว
au flag
@MichaelHampton การเปลี่ยนพอร์ตจะกำจัดบอท *บางตัว* นอกจากนี้ ไม่สะดวกในทางใดบ้าง (นอกเหนือจากการตั้งค่าเริ่มต้น)
cn flag
@jonbentley ต้องจำไว้ว่าให้เปลี่ยนในทุกไคลเอนต์ที่คุณต้องการใช้เชื่อมต่อ การรักษาความปลอดภัยโดย Obscurity นั้นไม่ใช่การรักษาความปลอดภัยเลย คุณสามารถเช่าเครื่อง AWS สองเครื่องในราคาต่ำกว่า $50 ซึ่งจะสแกนพื้นที่ที่อยู่ IPv4 ทั้งหมดภายในเวลาไม่กี่ชั่วโมง ดีกว่าที่จะปิดกั้นผู้กระทำความผิดมากกว่าพยายามซ่อนตัวจากพวกเขา
au flag
@hardillb "ต้องจำ" - ดูเหมือนกรณีการใช้งานเฉพาะเจาะจงมาก ฉันคิดว่าคนส่วนใหญ่ไม่ได้เปลี่ยนไปใช้ไคลเอนต์ใหม่บ่อยเกินไป (หรือหากพวกเขาจัดเตรียมอาจอยู่ในการควบคุมของพวกเขา) และสามารถจัดเก็บการตั้งค่าเพียงครั้งเดียวแล้วลืมมันไป (ใช้เช่น Ansible หรือ Stow หากคุณจัดเตรียมเครื่องจักรใหม่ บ่อย). "ความปลอดภัยโดยการปิดบังคือไม่มีความปลอดภัย" เป็นความเข้าใจผิดทั่วไป *โดยตัวของมันเอง* นั้นไม่ใช่การรักษาความปลอดภัย แต่เป็นส่วนที่ถูกต้องในการป้องกันในเชิงลึก และสามารถให้ประโยชน์เล็กน้อยเมื่อใช้อย่างถูกต้อง
Jason avatar
cn flag
@LinuxSecurityFreak re: "มีพอร์ต 65535 ฉันสงสัยว่าบอทจะใช้ช่วงดังกล่าว" - ฉันก็สงสัยเช่นกันจนกระทั่งฉันเห็นไคลเอนต์ที่ย้ายพอร์ตไปยังบางอย่างเช่น 20502 มันถูกเผยแพร่บน shodan.io ในชื่อ พอร์ตที่เปิดและบริการได้รับการระบุอย่างถูกต้อง ประทับใจ. และมีสติ
de flag
ฉันมีผู้ให้บริการโครงสร้างพื้นฐานแนะนำให้ฉันเปลี่ยนพอร์ต sshd เมื่อนานมาแล้ว และฉันคิดว่ามันเป็นขยะทั้งหมด เหมือนกับหลายๆ ความคิดเห็นที่นี่ แต่ฉันก็ยังทำอยู่ดี และเรายังได้รับขยะ แต่เมื่อเทียบกับเซิร์ฟเวอร์ที่เรา _havent_ เปลี่ยนแปลงแล้ว พอร์ตต่างๆ แทบไม่ได้ใช้งานเลยเป็นเวลา 15 ปีแล้วที่ Shodan-fu ไม่มีบอทจำนวนมากที่ชี้ไปที่เซิร์ฟเวอร์ของเรา วายเอ็มเอ็มวี. นี่คือ *ไม่* การรักษาความปลอดภัยโดยความสับสน เป็นเพียงความคลุมเครือ ความปลอดภัยมาจากการใช้คีย์ ssh ที่คาดเดายากสำหรับการตรวจสอบสิทธิ์ ไม่ใช่รหัสผ่าน +1 สำหรับ fail2ban ด้วย :)
se flag
@LinuxSecurityFreak ดูคำถาม บอทนั้นกำลังลองใช้พอร์ตต่างๆ ไม่ใช่พอร์ต 22 ดังนั้นสำหรับ OP เขากำลังเผชิญกับบอทที่สแกนพอร์ตโดยเฉพาะและไม่พยายาม ssh บนพอร์ต 22
tf flag
ฉันไม่ไปดูขีดจำกัดอัตราตาบอดที่แสดงไว้ ซึ่งทำให้การ DoS-ed ออกจากเซิร์ฟเวอร์ของคุณเป็นเรื่องง่ายมาก แม้กระทั่งโดยการสแกนแบบสุ่ม
John Mee avatar
il flag
ประสบการณ์ส่วนตัวจริงที่นี่: การเปลี่ยนหมายเลขพอร์ตในขณะที่ไม่ใช่วิธีแก้ปัญหาที่แท้จริงเพื่อลดความเสี่ยง... อย่างน้อยก็ในโฮสต์รอง เมื่อรวมกับการตรวจสอบสิทธิ์ด้วยคีย์แล้วความพยายามน้อยที่สุดในการให้รางวัลอัตราส่วน - มีการเปลี่ยนแปลงสองบรรทัดและการรีสตาร์ทที่กระวนกระวายใจ
br flag
@Pelle ขีด จำกัด อัตราต่อ IP ต้นทางดังนั้นจึงเป็น "เท่านั้น" ที่เสี่ยงต่อการปฏิเสธบริการที่เป็นเป้าหมาย
mx flag
@hardillb ใช่ มันเป็นแค่ความคลุมเครือ แต่ความคลุมเครือมักจะเพียงพอที่จะยับยั้งเปอร์เซ็นต์การโจมตีที่ไม่สำคัญที่นี่ บอทส่วนใหญ่จะไม่ลองใช้พอร์ตสำรองใดๆ เลย (พูดจากประสบการณ์ที่สั่งสมมานานกว่าทศวรรษที่นี่) เว้นแต่ว่าคุณจะถูกกำหนดเป้าหมายอย่างแข็งขัน ดังนั้นเพียงแค่เปลี่ยนพอร์ต แม้ว่าจะเป็นการเปลี่ยนแปลง “ พอร์ตสำรองที่เห็นได้ชัดก็เพียงพอที่จะลดจำนวนผู้โจมตีที่เป็นภัยคุกคามได้จริง
user avatar
sa flag
@slebetman นั่นคือพอร์ตไคลเอนต์ มันไม่มีส่วนเกี่ยวข้องกับพอร์ตเซิร์ฟเวอร์ เนื่องจากหากตรวจสอบพอร์ตอื่นสำหรับเซิร์ฟเวอร์ มันจะไม่ปรากฏในบันทึก SSH
tf flag
@SimonRichter: ในกรณีนั้น ดำเนินการต่อไป :-)
in flag
ประสบการณ์ส่วนตัวอีกเล็กน้อย: fail2ban ประสบความสำเร็จแทบไม่มีอะไรเลยในทางปฏิบัติที่นี่ การสแกน SSH ทั้งหมดที่ฉันได้รับนั้นมาจากบอทเน็ต ซึ่งแต่ละโฮสต์ระยะไกลพยายามเข้าสู่ระบบ 1 หรือ 2 ครั้งเท่านั้น ซึ่งไม่เพียงพอที่จะทำให้เกิดความล้มเหลว 2 แบน (คุณสามารถดูสิ่งนี้ได้ในบันทึกของ OP เช่นกัน) ปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านและใช้เฉพาะการตรวจสอบสิทธิ์คีย์สาธารณะ
Score:9
ธง in

ดังที่ @Simon Richter กล่าวถึงนั่นเป็นเพียงเสียงรบกวนจากอินเทอร์เน็ตและคุณไม่ควรกังวล สิ่งที่คุณต้องทำให้แน่ใจว่า:

การเปลี่ยนพอร์ตจะทำให้ปัญหาหมดไป แต่เปล่าเลย ความปลอดภัยผ่านความมืด และสามารถสร้างภาพลวงตาของความปลอดภัยในขณะที่ไม่มีเลย

ต่อไปนี้คือคำแนะนำอื่นๆ โดยรอบ SSH เช่นเดียวกับการโต้แย้งโต้แย้งกับข้อโต้แย้ง "แนวปฏิบัติที่ดีที่สุด" กระแสหลัก

Score:3
ธง in

คุณอยู่ในอินเดีย? ที่อยู่ IP ทั้งหมดที่ระบุไว้อยู่ในบล็อก:

223.196.160.0 - 223.196.191.255   

ซึ่งตามฐานข้อมูล WHOIS จัดสรรให้

รายละเอียด: Andhra Pradesh State FiberNet Limited
ที่อยู่: 10-2-1 ชั้น III, FDC Complex, AC Guards, Hyderabad, Andhra Pradesh-500028

วิธีแก้ไขระยะสั้นวิธีหนึ่งคือบล็อกทั้งบล็อก 223.196.160.0/19 ที่ไฟร์วอลล์ แต่นั่นเป็นการจัดการที่อยู่ IP แบบไมโครและกลายเป็นการต่อสู้ที่ยากเย็นแสนเข็ญ


แต่คุณสามารถปฏิเสธ ssh ทั้งหมดได้ ยกเว้น IP ต้นทางที่คุณรู้ว่าเชื่อถือได้ เพียงดูแลไม่ให้ล็อคตัวเองจากโฮสต์ของคุณเอง หากคุณไม่มี IP แบบคงที่ คุณสามารถอนุญาตการบล็อกหรืออาจดูที่การเรียกใช้เซิร์ฟเวอร์ VPN บนโฮสต์

หรือหากคุณไม่ต้องการอนุญาตการเชื่อมต่อ SSH จากอินเทอร์เน็ต เพียงปฏิเสธและเปิดใช้งานอีกครั้งเมื่อจำเป็นเท่านั้น

user10489 avatar
nc flag
หรือใช้การเคาะพอร์ตเพื่อไวท์ลิสต์ตัวคุณเองเมื่อ IP ของคุณเปลี่ยนแปลง
Score:1
ธง in

นี่คือสคริปต์ง่ายๆ ที่ฉันเขียนขึ้นเพื่อบล็อกความพยายามที่ไม่ได้รับอนุญาตทั้งหมดในการลงชื่อเข้าใช้เซิร์ฟเวอร์ dev ของฉัน

#!/bin/bash

ban=$HOME/banned.txt
b_log=/var/log/banned.log

บันทึก () {
แมว $แบน | ยูนิค >> $b_log
}

l_log () {
สุดท้ายb | awk '{ พิมพ์ $3 }' | sed -r '/(จันทร์|อังคาร|พุธ|พฤหัสบดี|ศุกร์|เสาร์|อาทิตย์|บูต|tty2)/d' | จัดเรียง | sed '/^$/d' | ยูนิค | ที$แบน
}

หยด () {
สำหรับ x ใน $(แมว $แบน); ทำ iptables -A INPUT -s $x -j DROP; เสร็จแล้ว
}

l_log
หยด
บันทึก
rm -f $แบน
เสียงสะท้อน > /var/log/btmp
iptables-บันทึก

หากคุณตั้งค่าสคริปต์ให้ทำงานผ่าน cron ทุก ๆ นาที มันจะลดสัญญาณรบกวนในบันทึกของคุณลงอย่างมาก และบล็อก IP ที่ละเมิด โดยให้เวลาเพียง 1 นาทีในการพยายามใช้ความรุนแรงก่อนที่จะถูกบล็อก

เป็นความคิดที่ดีที่จะแทรก IP ของคุณและ IP อื่น ๆ ที่คุณเข้าถึงเซิร์ฟเวอร์ด้วยไฟร์วอลล์ของคุณ iptables -I INPUT -s xxx.xx.xxx.xx -j ยอมรับ

ระบบจะสร้างบันทึกของ IP ที่ถูกแบนทั้งหมด

Criggie avatar
in flag
ดังนั้นคุณกำลังใช้บันทึกผลลัพธ์ของ fail2ban และทิ้ง IP ต้นทางเหล่านั้นอย่างถาวรโดยใช้กฎ iptables ทำไมไม่เพียงแค่ปรับแต่ง iptables เพื่อปล่อยให้ที่อยู่ที่ไม่ดีถูกบล็อกอีกต่อไป นอกจากนี้ คุณยังเสี่ยงที่จะบล็อก IP ในเครื่องของคุณหากคุณป้อนรหัสผ่านผิดหรือรหัสผ่านที่คล้ายกัน ในขณะที่ fail2ban มีตัวเลือก "ห้ามบล็อกช่วงเหล่านี้"
HatLess avatar
in flag
ไม่ ฉันไม่ได้ใช้ fail2ban ใช้แค่ iptables ฉันได้รับข้อมูลจาก `lastb` ซึ่งเป็นการเข้าสู่ระบบที่ล้มเหลวครั้งล่าสุด จากนั้นจึงแยกเฉพาะ IP และวางทิ้ง
iBug avatar
um flag
ฟังดูเหมือนคุณกำลังสร้าง Failed2ban ขึ้นมาใหม่ F2B เป็นเครื่องมือที่ครอบคลุมสำหรับงานนี้อยู่แล้ว ไม่มีเหตุผลที่จะปฏิเสธ
Score:1
ธง de
  1. ใช้การรับรองความถูกต้องตามคีย์เท่านั้น บอทจำนวนมากโจมตีเฉพาะระบบที่ใช้รหัสผ่านเท่านั้น การใช้การรับรองความถูกต้องตามรหัสผ่านเป็นความคิดที่ไม่ดีอยู่ดี
  2. ใช้ https://www.sshguard.net/ : มันบล็อก IP หลังจากการเข้าสู่ระบบที่ล้มเหลวสองสามครั้ง
  3. ใช้พอร์ตแบบสุ่ม (ไม่ใช่ 22) มันจะหยุดบอทบางตัว
  4. ตรวจสอบให้แน่ใจว่าระบบของคุณไม่อนุญาตให้เข้าสู่ระบบรูท
  5. หากคุณเข้าสู่ระบบจากที่บ้านเท่านั้น ให้ลองเปิด SSH สำหรับ IP/ISP หรือประเทศของคุณเท่านั้น
Score:1
ธง ck

1. เปลี่ยนของคุณ sshd พอร์ตการฟัง

ฟังดูง่าย แค่เปลี่ยนพอร์ตของคุณจากค่าเริ่มต้น 22 เป็นค่าที่กำหนดเอง (เช่น 2200) บน IP สาธารณะสามารถลดจำนวนการสแกนพอร์ตจากหลายพันต่อวันเหลือไม่กี่โหล สำหรับบทช่วยสอนดู ที่นี่.

ดังที่ได้กล่าวไปแล้ว แม้ว่าสิ่งนี้จะลดความน่ารำคาญของการสแกนพอร์ตลงได้ ไม่ ให้ความปลอดภัยอย่างแท้จริง "ความปลอดภัยโดยความสับสน" เป็นตำนานและไม่มีอะไรมาก

2. ใช้การเข้าสู่ระบบด้วยรหัสสาธารณะและปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่าน

บอทอาจคาดเดารหัสผ่านได้ถูกต้อง แต่พวกเขาเดาถูก ไม่เคย จะเดาคีย์ส่วนตัวถูก ตราบใดที่คุณใช้อัลกอริทึมที่ทันสมัย ​​และไม่ทำให้คีย์ของคุณรั่วโดยไม่ตั้งใจ สำหรับบทช่วยสอนดู ที่นี่.

โปรดทราบว่านี่หมายความว่าคุณจะไม่สามารถเข้าสู่ระบบจากเครื่องสุ่มใดๆ ได้อีกต่อไป เว้นแต่คุณจะพกกุญแจติดตัวไปด้วย (ซึ่งคุณต้องรักษาความปลอดภัยด้วยวิธีอื่น)

3. ใช้fail2ban

ถ้าพวกเขาล้มเหลว 5 ครั้ง แบนพวกเขาจากการพยายามอีกครั้งหนึ่งวันหรือบางอย่าง นั่นจะแสดงให้พวกเขาเห็น มีประสิทธิภาพมากในการพยายามใช้กำลังดุร้าย สำหรับบทช่วยสอนดู ที่นี่.

ข้อเสียคือคุณอาจล็อกตัวเองไม่ได้หากวันหนึ่งคุณมีอาการนิ้วสั่น (เมาหรืออะไร ฉันไม่รู้)

4. แบนรายการ IP ล่วงหน้าที่ทราบกันดีว่าใช้งานในทางที่ผิด

แหล่งที่มาเช่น ละเมิดIPDB รักษารายการใหญ่ของ IP ที่เป็นอันตรายที่รู้จักซึ่งเข้าถึงได้ผ่าน API คุณจะต้องใช้รหัส API เพื่อใช้งาน แต่คุณสามารถลงทะเบียนบัญชีฟรีได้ง่ายพอ ดึงรายการและใช้สิ่งที่ต้องการ iptables เพื่อแบน IP ที่รู้จักเหล่านั้นเป็นกลุ่ม ตั้งค่า cron job ให้เป็นอัตโนมัติเป็นระยะเพื่อให้ได้ผลดีที่สุด นี่ สคริปต์ง่ายๆ ที่ฉันเขียน (และฉันใช้เป็นการส่วนตัว) เพื่อทำสิ่งนั้น อย่าลังเลที่จะใช้เป็นข้อมูลอ้างอิง แต่ อย่าใช้มันในการผลิต.

จากประสบการณ์ส่วนตัวของฉัน วิธีนี้ได้ผลพอๆ กัน (ถ้าไม่มากกว่านั้น) เช่นเดียวกับวิธีที่ #3


โดยส่วนตัวแล้ว ฉันใช้ทั้ง 4 วิธีที่ระบุไว้ข้างต้น และ VPS ของฉันอาจได้รับการพยายามเข้าสู่ระบบที่เป็นอันตรายอย่างน้อยหนึ่งหรือสองครั้งในบันทึกความปลอดภัยของฉันในเดือนที่ไม่ดี นี่คือประวัติการสกัดกั้นของ iptables ผ่านวิธีที่ #4:

$ abip-hist
โซ่ abip-ban (1 อ้างอิง)
 pkts bytes target prot เลือกใช้ปลายทางต้นทาง
  362 14480 วางทั้งหมด -- * * 45.143.200.6 0.0.0.0/0
  307 12280 วางทั้งหมด -- * * 185.156.73.104 0.0.0.0/0
  288 12672 วางทั้งหมด -- * * 212.133.164.75 0.0.0.0/0
  277 19911 วางทั้งหมด -- * * 146.88.240.4 0.0.0.0/0
  250 11000 DROP ทั้งหมด -- * * 212.133.164.14 0.0.0.0/0
  230 9200 DROP ทั้งหมด -- * * 45.146.164.213 0.0.0.0/0
  215 8600 DROP ทั้งหมด -- * * 185.156.73.67 0.0.0.0/0
  214 8560 DROP ทั้งหมด -- * * 5.188.206.18 0.0.0.0/0
  202 8080 วางทั้งหมด -- * * 193.27.228.63 0.0.0.0/0
  201 8040 วางทั้งหมด -- * * 193.27.228.64 0.0.0.0/0
  199 7960 วางทั้งหมด -- * * 193.27.228.59 0.0.0.0/0
  197 7880 วางทั้งหมด -- * * 193.27.228.65 0.0.0.0/0
  197 7880 วางทั้งหมด -- * * 193.27.228.61 0.0.0.0/0
  196 7840 วางทั้งหมด -- * * 45.135.232.119 0.0.0.0/0
  196 7840 วางทั้งหมด -- * * 193.27.228.60 0.0.0.0/0
  196 7840 วางทั้งหมด -- * * 193.27.228.58 0.0.0.0/0
  189 7560 วางทั้งหมด -- * * 45.146.165.149 0.0.0.0/0
  184 7360 DROP ทั้งหมด -- * * 45.155.205.247 0.0.0.0/0
  184 7360 วางทั้งหมด -- * * 195.54.160.228 0.0.0.0/0
  182 7280 วางทั้งหมด -- * * 45.143.203.12 0.0.0.0/0
  181 7240 วางทั้งหมด -- * * 45.141.84.57 0.0.0.0/0
  180 7200 DROP ทั้งหมด -- * * 45.135.232.85 0.0.0.0/0
  176 7040 DROP ทั้งหมด -- * * 45.146.165.148 0.0.0.0/0
...
สิ่งนี้ดำเนินต่อไปสำหรับ 1,700 บรรทัด ...

เวลาทำงาน $
06:36:49 น. 16 วัน, 15:24 น
Z4-tier avatar
us flag
+1 สำหรับ "เปลี่ยนพอร์ตของคุณ" อย่าเปลี่ยนเป็นสิ่งที่น่าดึงดูดพอๆ กัน (หรือมากกว่านั้น) สำหรับผู้โจมตี ใช้พอร์ตที่คลุมเครือ ไม่ได้กำหนด หมายเลขสูงกว่า บางสิ่งบางอย่างที่สูงกว่า 10,000 ฉันเคยเรียกใช้ ssh บน 23 (พอร์ต telnet) เพียงเพื่อ *ha-ha's* และว้าวนั่นได้รับการเชื่อมต่อมากมาย
Score:0
ธง er
lev

ดังที่คำตอบอื่นๆ กล่าวไว้ คุณไม่จำเป็นต้องกังวลเกี่ยวกับเรื่องนี้มากนัก แต่ถ้าคุณต้องการเพิ่มความปลอดภัยอีกชั้นหนึ่ง คุณสามารถลองใช้การเคาะพอร์ตได้

แนวคิดคือการปิดพอร์ต ssh ไว้ และเปิดเป็น ips เท่านั้น ซึ่งดำเนินการตามลำดับการทำงานเฉพาะก่อนหน้านี้ เช่น:

ซิงค์พอร์ต 1,000
ซิงค์พอร์ต 2000
ซิงค์พอร์ต 3000
# พอร์ต ssh เปิดอยู่
จุ๊ ...

สามารถดูรายละเอียดเพิ่มเติมได้ที่นี่: https://www.rapid7.com/blog/post/2017/10/04/how-to-secure-ssh-server-using-port-knocking-on-ubuntu-linux/

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา