Брутят SSH доступ

Статус
В этой теме нельзя размещать новые ответы.

Carleone

Постоялец
Регистрация
7 Ноя 2012
Сообщения
51
Реакции
37
  • Автор темы
  • Заблокирован
  • #1
Нагло второй день пытаются сбрутить SSH доступ к серверу.
Что можно предпринять?
 

ReBeL

Злобный старикашка
Регистрация
3 Май 2006
Сообщения
1.535
Реакции
888
man fail2ban для начала =)
в jail.conf изменить стандартное время бана на большее - у меня стоит 6000 секунд и боты обычно второй раз не заходят =)

Ну и для начала статью почитать - Для просмотра ссылки Войди или Зарегистрируйся
 

efs

SEO оптимизатор дискрипторов одностраничных сайтов
Регистрация
20 Ноя 2009
Сообщения
835
Реакции
493
Что можно предпринять?
в /etc/ssh/sshd_conf указать PermitRootLogin no пусть продолжают ломиться :crazy:
самому логиниться под обычным пользователем и при необходимости поднимать привилегии при помощи "su"
 

Carleone

Постоялец
Регистрация
7 Ноя 2012
Сообщения
51
Реакции
37
  • Автор темы
  • Заблокирован
  • #5
ну откуда простому китайскому кулхацкеру известно, что у меня есть пользователь с логином "huysosalikombayneri" под которым я и работаю?
Вот кста что интересно, почти все ип (прокси) Китайские, суть вопроса наверное в том, как избавится от лишней нагрузки на сервер, думаю поменяю порт и посмотрю на fail2ban.
 

ReBeL

Злобный старикашка
Регистрация
3 Май 2006
Сообщения
1.535
Реакции
888
Вот кста что интересно, почти все ип (прокси) Китайские, суть вопроса наверное в том, как избавится от лишней нагрузки на сервер, думаю поменяю порт и посмотрю на fail2ban.
Смена номера порта обычно от совсем неопытных и от паблик ботов спасает только.
Нормальный бот сначала сканирует порты, а потом на найденые ломится брутить.
 

PapaJoe

Мой дом здесь!
Регистрация
4 Авг 2008
Сообщения
621
Реакции
316
Смена номера порта обычно от совсем неопытных и от паблик ботов спасает только.
Нормальный бот сначала сканирует порты, а потом на найденые ломится брутить.
Насчет неопытных не скажу, но если поставить очень сложный пароль, который будет где-нибудь записан на бумажке, а потом авторизовываться по rsa-ключу(не по паролю) - и брутеру облом и тебе запарок нет.

Ну или восем другой варик - доступ(в т.ч. авторизация) только с одного ip, который доступен только тебе(выделенный прокси или свой же комп с выделенным ip) - всех ботов и брутеров как на корню....
 

barabula

Гуру форума
Регистрация
21 Май 2009
Сообщения
474
Реакции
80
Я бы посотоветовал вам сменить порт как писалось выше + зашиту по ай-пи поставить как это реализовано у меня, но с одним нюансом, я разрешил несколкьо ай-пи, в т.ч. моего второго системника + ещё одного администратора сервера, в случае если у кого-то меняется ай-пи, то другие вносят его вновь. а твоем же месте я б ввел ай-пи пары друзей при помощи которых ты сможешь зайти и вбить свой новый ай-пи( в случае если он поменяется)
 

stooper

traffic doctor
Регистрация
14 Апр 2006
Сообщения
592
Реакции
420
если разговор пошел о FreeBSD, то можно обойтись без установки дополнительного софта и смены порта(хотя менять порт - это норм. вариант). Достаточно простой и эффективный антибрут при помощи фаерволла:
table <bruteforce> persist
block quick from <bruteforce>
pass inet proto tcp from any to any port ssh flags S/SA keep state (max-src-conn 5, max-src-conn-rate 5/30, overload <bruteforce> flush global)
т.е. хулиган 5 соединений к sshd за 30 секунд сделал, и пошел отдыхать :)
 

Qwest-fx

Профессор
Регистрация
3 Апр 2007
Сообщения
134
Реакции
41
Проскакивала тема подключения к ssh по принципу кодового замка.
Обращаемся на определённые порты(в определённом порядке), включается ssh, ну а дальше как хочется, {passwd,rsa-key}
Как такое реализовано, просьба со ссылками, и другими плюшками. Ну очень интересно.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху