Evitar ataques SSH

Navegue suas respostas
8

Estou tentando configurar as regras do iptables para permitir apenas três tentativas de um IP por minuto para se conectar ao servir via SSH e descartar todas as conexões após para evitar ataques SSH; mas parece que estou fazendo algo errado! 

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

Obrigado

    
por MGP 22.09.2012 / 18:05

3 respostas

9

Acho melhor você usar fail2ban , porque suas regras de ipfilter também bloqueiam conexões legítimas. fail2ban bloqueará somente IPs após conexões com falha.

Em seguida, uma prática comum é proibir os IPs quando eles tentarem se conectar à porta 22 e vincular seu servidor ssh a outra porta. Você então enfrenta apenas uma conexão ilegítima por semana se seu computador não for um alvo conhecido.

Para a pergunta precisa que você fez: 

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
    
por 22.09.2012 / 18:17
7

Você pode implementar o que quiser com as duas regras a seguir 

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP

Note que usar -A , que adiciona regras ao final da cadeia, pode afetar a forma como as regras do iptables são processadas, ou seja, na ordem, portanto, se houver uma regra geral DROP ou allow antes que a sua seja alcançada, nunca será atuado.

Ter dito que você também pode encontrar fail2ban é uma maneira melhor de implementar esse tipo de bloqueio.

    
por 22.09.2012 / 18:15
4

Você pode querer experimentar o módulo LIMIT. 

iptables -A INPUT -p tcp --dport 22 -m limit --limit 3/minute -j ACCEPT
    
por 22.09.2012 / 18:16

Tags

Erros de chipkill ECC: qual DIMM? Caminho da raiz do domínio nginx dinâmico com base no nome do host?