Qual ferramenta ou técnica você usa para evitar ataques de força bruta contra sua porta ssh? Percebi em meus registros de segurança que tenho milhões de tentativas de fazer login como vários usuários por meio do ssh.
Isso está em uma caixa do FreeBSD, mas imagino que seria aplicável em qualquer lugar.
Aqui está uma boa postagem sobre esse assunto de Rainer Wichmann.
Explica os prós e contras dos métodos para fazer isso:
Uso o fail2ban , que bloqueia um IP após várias tentativas malsucedidas por um período de tempo configurável.
Combine isso com o teste de força da senha (usando john (John the Ripper)) para garantir que os ataques de força bruta não sejam bem-sucedidos.
A pequena coisa que você pode fazer é usar algo como o DenyHosts:
Ele usa o built-in hosts.allow / hosts.deny para bloquear os usuários de SSH.
Uma das maneiras mais fáceis de evitar esses ataques é alterar a porta que o sshd escuta em
Como Chris aponta, use chaves de criptografia em vez de senhas.
Adicione a isso:
Quantas pessoas ou locais (com IPs públicos flutuantes) você realmente precisa acessar suas conexões ssh públicas?
Dependendo do número de hosts ssh públicos que você está mantendo e se você pode restringir seus critérios gerais de conexão, pode ser uma configuração mais simples e segura para limitar o acesso a alguns hosts externos.
Se isso funcionar para você, isso pode realmente simplificar sua sobrecarga de administração.
Além das outras boas sugestões, uma coisa realmente fácil de fazer é limitar as conexões de entrada de taxa. Limite de 3 conexões por minuto por IP:
iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Use a opção "AllowUsers" em sshd_config para garantir que apenas um pequeno conjunto de usuários possa efetuar login. Todos os outros serão rejeitados, mesmo que o nome de usuário e a senha estejam corretos.
Você pode até restringir os usuários a logins de um determinado host.
por exemplo,
AllowUsers user1 [email protected]
Isso reduzirá o espaço de pesquisa e evitará os usuários antigos que foram acidentalmente deixados por perto ou habilitados (embora, obviamente, devam ser desativados de qualquer maneira, essa é uma maneira fácil de impedir que eles sejam usados para uma entrada baseada em SSH ).
Isso não impede totalmente os ataques de força bruta, mas ajuda a reduzir o risco.
Use algo parecido com o PF:
tabela < ssh-brute > persistir
bloquear em log rápido do rótulo ssh_brute
passar em $ ext_if proto tcp para ($ ext_if) port ssh modular estado \
(max-src-conn-rate 3/10, sobrecarga de limpeza global)
Bater o porto é uma maneira bastante sólida de manter esse tipo de coisa. Um pouco complicado, às vezes irritante, mas definitivamente faz com que o problema desapareça.
O contexto é importante, mas eu recomendo algo assim:
Além da sugestão de limitação de taxa do sherbang , a A duração do atraso é importante. Aumentando o atraso entre grupos de 3 tentativas de login de 2 minutos a 20 minutos, o número de endereços IP diferentes que fizeram mais de três tentativas de login caiu, comparando dois períodos de uma semana em uma máquina minha, de 44 tentativas a 3 Nenhum desses três endereços continuou tentando por mais de 11 horas.
Muito anedótico, mas o auth.log se tornou muito mais legível para mim ...
Eu simplesmente não me importo com isso. Deixe-os grudarem no porto, eles não vão forçar uma chave.
instale o OSSEC. não só monitora logins repetidos, ele irá inserir um bloco temporário com o iptables para o ip ofensivo. E no final ele enviará um relatório informando os detalhes. registra tudo, o que é legal. Somone uma vez tentou mais de 8000 nomes de login para fazer login. Eu analisei os logs e obtive uma boa lista de usuários fora do negócio;)