Eu estou executando um servidor Gentoo Linux, e uso o Fail2Ban para bloquear o script kiddies e seus ataques implacáveis na minha porta SSH. (Sim, eu sei que posso mudar para um número de porta diferente, mas isso é trabalho, e quem quer fazer isso? :))
Enfim, isso está funcionando muito bem, eu vejo muitas pessoas tentando invadir e bani-las, mas então eu notei essa mensagem interessante, e MUITAS delas.
Oct 12 18:00:57 SERVERNAME sshd[23265]: SSH: Server;Ltype: Version;Remote: 216.177.200.29-46386;Protocol: 2.0;Client: libssh-0.1
Existem mais de 1000 deles em uma janela de 5 min, todos do mesmo endereço IP remoto. Isso é uma tentativa de quebrar? E se sim, que tipo é esse? Eu tentei procurar isso, mas não consegui uma resposta clara sobre o que estava acontecendo aqui.
Como não houve nenhuma tentativa específica de login, meu fail2ban não sinalizou o IPTables para bloqueá-lo. Eu só queria ter certeza de que não estou sendo exposto a alguma vulnerabilidade conhecida no daemon SSHD.
Ou alguém estava tentando forçar sua senha ou menos provável que eles estivessem tentando violar suas chaves ssh. O SSHD não registrará falhas em alguns casos. Houve alguma discussão em listas de discussão que você poderia quebrar chaves ssh através de uma força bruta remota em menos de 2 horas.
Justin Mason tem um bom artigo em seu blog sobre isso.
iptables -A ENTRADA -p tcp -m tcp --dporta 22 -m estado --state NOVO -m recente --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dportar 22 -m recentes --update --segundos 60 --hitcount4 --rttl --name SSH -j DROP
iptables -A ENTRADA -p tcp -m tcp --dporta 22 estados -m Estado ESTABELECIDO, RELACIONADO -j ACEITE
Tente isso, dessa forma você solta mais de 4 conexões em um quadro de 60 segundos do mesmo IP que ele Ip por 60 segundos, mas aceita o tráfego de conexões pré-estabelecidas. Não bloqueia o IP, mas diminui a velocidade em tentativas.