como bloquear ssh de entrada de locais fora dos EUA no meu servidor doméstico? (Ubuntu 10.04)

Navegue suas respostas
1

Existe um 'passo a passo' ou um pacote enlatado para bloquear tentativas ssh de entrada de qualquer lugar fora dos EUA?

Ninguém, a não ser eu ou um punhado de colegas de trabalho, deve estar tentando entrar em minha área de trabalho em casa; É claro que a vida não é tão legal e meu /var/log/auth.log está cheio de tentativas de login root de todo o mundo ...

Uma solução complicada seria de alguma forma pegar o IP, procurar na web via pesquisa HTTP com script, então decidir sobre a ação ... existe um script ou pacote enlatado que bloqueia por país?

(nota: eu instalei o denyhosts, funciona bem para bloquear depois de uma tentativa, mas há tantas tentativas de uma grande variedade de IPs!)

questão relacionada: Servidor de jogos - Como bloquear conexões de outros países?

    
por peter karasev 25.10.2010 / 02:13

4 respostas

0

Não pense que existem soluções pré-determinadas. Por várias razões, elas seriam apenas parcialmente eficazes.

Instale um bom firewall. (Eu uso o Shorewall para construir o meu.)

Considere o uso de porta bloqueada para manter a porta fechada, a menos que seja necessário. Abra o ssh para endereços que você sabe que precisa usá-lo. Para usuários em endereços dinâmicos, você pode usar whois para determinar o tamanho provável do bloco em que eles estão. As regras abertas precisam ir antes das regras de bloqueio de portas.

Considere usar o fail2ban para bloquear endereços que verificam você.

    
por 25.10.2010 / 04:55
2

Se você ou seus colegas de trabalho tiverem IPs estáticos, você poderá usar os arquivos /etc/hosts.allow e /etc/hosts.deny.

Por exemplo, em /etc/hosts.allow, você poderia colocar ... 

SSHD: 13.45.75.78

E para /etc/hosts.deny ... 

SSHD: ALL

Isso nega todos os acessos ssh, exceto por 13.45.74.78. Você também pode usar curingas, se necessário.

    
por 25.10.2010 / 03:44
1

uma coisa fácil para impedir ataques ssh é alterar sua porta ssh . você também pode colocar na lista de permissões certos ips usando denyhost ou authfail .

    
por 25.10.2010 / 03:13
1

Concordo com o yanokwa, mas quero adicionar um pouco.

Concordo com o uso de uma porta SSH alternada e IPs de lista de permissões. Esforço mínimo mas ganho significativo.

O problema é que os usuários domésticos não possuem IPs estáticos, o que a maioria dos ISPs não oferece. Uma alternativa seria uma abordagem híbrida. Você pode deixar a porta 22 como sua porta padrão e IPs de lista de permissões para essa porta, como qualquer coisa em sua própria sub-rede e alguns IPs "confiáveis" (que provavelmente poderiam ser falsificados se eles realmente se importassem). Em seguida, use iptables para usar outra porta (uma acima de 1024) para ouvir e encaminhar internamente para a porta 22.

Portanto, a porta 22 tem uma superfície de ataque significativamente menor e você ainda pode se conectar a partir de qualquer IP, como se você precisasse se conectar a partir do seu hotspot Wi-Fi local.

    
por 25.10.2010 / 10:24

Tags

Procurando por um software livre que irá dividir um arquivo wav em várias partes nos silêncios [closed] extensão chrome que determina o framework php