Negar automaticamente as tentativas de hackers no CentOS?

Navegue suas respostas
1

Meu servidor está sob ataque. Estou registrando esse tipo de tentativa: 

Sep 22 06:39:11 s1574**** sshd[16453]: Failed password for invalid user amber from        64.215.17.4 port 35182 ssh2
Sep 22 04:39:11 s1574**** sshd[16454]: Received disconnect from 64.215.17.4: 11: Bye Bye
Sep 22 06:39:11 s1574**** sshd[16457]: Invalid user amber from 64.215.17.4
Sep 22 04:39:11 s1574**** sshd[16458]: input_userauth_request: invalid user amber
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): check pass; user unknown
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): authentication failure;     logname= uid=0 euid=0 tty=ssh ruser= rhost=dns2.rsd.com 
Sep 22 06:39:11 s1574**** sshd[16457]: pam_succeed_if(sshd:auth): error retrieving     information about user amber
Sep 22 06:39:14 s1574**** sshd[16457]: Failed password for invalid user amber from 64.215.17.4 port 35842 ssh2
Sep 22 04:39:14 s1574**** sshd[16458]: Received disconnect from 64.215.17.4: 11: Bye Bye

O que posso fazer para bloquear esse tipo de tentativas de acesso, algo como bloquear o ip quando mais de 3 denies

    
por spacebiker 22.09.2012 / 20:23

3 respostas

6

  1. Você pode limitar o número de tentativas de login por minuto com iptables . Tais regras bloquearão o IP por um minuto após três tentativas de login (tiradas do Diário de um geek - Atenuando contra o brutamontes do SSH forçar ataques usando o Netfilter e o módulo recent ): 

    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

  2. Se você quiser um sikytion mais configurável, use fail2ban ou DenyHosts para analisar logs SSHd e bloquear endereços IP suspeitos.

por 22.09.2012 / 20:42
1

a melhor maneira prática é bloquear todas as portas desnecessárias com o iptables e configurar o seu ssh para usar uma chave privada para o login. Eu sei que Putty e MobaXterm (ambos clientes SSH livres) suportam login de chave privada. então dentro do seu / etc / ssh / sshd_config remova o 

PermitRootLogin yes

e adicione: 

PermitRootLogin without-password

isso fará com que, mesmo que você saiba a senha do root, não permita que você faça o login.

você pode usar as regras do iptables para estrangulá-las para que elas não sobrecarreguem o seu servidor também

    
por 20.11.2013 / 05:13
1

Instale o software Denyhosts. Ele listará automaticamente esses IPs de hackers para o hosts.deny. O pacote está disponível no repositório epel.

    
por 20.11.2013 / 05:39

Tags

Política de segurança do Windows 8 “Nível de Autenticação do LAN Manager” O que realmente está acontecendo quando uma página da Web não está sendo carregada?