Protege o servidor ssh

3

Eu tenho uma máquina debian executando vários serviços, como o apache com http e https, jabber e um servidor openssh para administração. O ssh-server não está rodando na porta 22. Está em algo como a porta 62111. Eu protejo o openssh com o fail2ban. Assim, sempre que um invasor tenta se conectar ao ssh na porta 62111, ele tem duas tentativas antes de ser banido por dois dias pelo fail2ban na porta 62111.

Eu gostaria de iniciar um SSH-Server (falso) na porta 22 e sempre que alguém tenta se conectar a essa porta ele é banido da porta all pelo iptables para sempre ou pelo menos até eu soltar o regra de iptables. Qualquer conexão SSH legal não tentará o ssh para a porta 22, porque todo administrador conhece a porta SSH correta.

A ideia é que um invasor tente atacar a porta 22 primeiro. Portanto, ele nem sequer teve a chance de tentar SSH para a porta 62111. Eu não me importo com esses crackers para ver o meu site. Então, é bom bloqueá-los em qualquer porta (incluindo 80 e 443).

Alguma sugestão sobre como fazer isso?

    
por jss 07.09.2013 / 22:47

4 respostas

2

Vou tentar sugerir outra solução para o paranóico:)

link

Funciona exigindo tentativas de conexão para uma série de portas fechadas predefinidas. Quando a seqüência correta de porta "bate" (tentativas de conexão) é recebida, o firewall abre certas portas para permitir uma conexão.

E, claro, apenas a autenticação por chave ssh.

    
por 07.09.2013 / 23:06
0

Nenhuma boa ideia (IMHO).

Uma conexão com a porta 22 não significa automaticamente que alguém está tentando invadir seu servidor.

Para proteger seu servidor de hacker / cracker, siga algumas regras simples (ex).

  • Use ferramentas como o fail2ban wise
  • mantenha seus serviços (ssh, http, ...) sempre atualizados
  • use senhas strongs (e altere-as circular)
  • use ssh-keys para sshd e desative a autenticação por senha
por 07.09.2013 / 23:03
0

Eu quero rodar o sshd em outra porta e ainda usar o mesmo fail2ban etc - Eu encontrei um manual muito bom e similar aqui: link

Repostará e alterará as coisas para você aqui:

O objetivo é executar o mesmo daemon com duas portas diferentes e desabilitar qualquer tipo de autenticação em uma instância.

  1. Copiar configuração:

    cd / etc / ssh / sshd_config / etc / ssh / sshd_config-fake

  2. altere a configuração de acordo com isso:

    altere Port , SyslogFacility , *Authentication strings (desative para falso), PidFile

  3. crie symlink: ln -s / usr / sbin / sshd /usr/sbin/sshd-fake

  4. crie um script de inicialização: cp /etc/init.d/sshd /etc/init.d/sshd-fake e modifique o conteúdo do arquivo sshd-fake de acordo.

  5. altere / etc / sysconfig / sshd-fake: OPTIONS="-f /etc/ssh/sshd_config-fake"

  6. adicione o serviço chkconfig --add sshd-fake

  7. crie uma configuração de pam: cp /etc/pam.d/sshd /etc/pam.d/sshd-fake

  8. edite o /etc/pam.d/sshd-fake e desative tudo, ou use um método diferente, como permitir que os usuários listados no arquivo: link

  9. serviços de reinicialização: service sshd restart;service sshd-fake restart;chkconfig sshd-fake on

  10. configure o fail2ban de acordo

por 08.09.2013 / 01:19
0

Isso pode não ser o mais elegante, mas deve ser rápido e funcional:

iptables -I INPUT --m recent --name blocked --rcheck -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --name blocked --set

Explicação:

Insira uma regra de firewall (no topo) na cadeia de entrada, que verifica se o endereço de origem do pacote está atualmente na lista "bloqueada" e, se estiver, DROP it.

Insira outra regra de firewall (acima da que acabamos de inserir) na cadeia de entrada que adiciona o endereço de origem de qualquer tentativa de conexão à porta 22 para a lista "bloqueada".

Não vejo a necessidade de realmente executar um servidor (falso) ou qualquer ouvinte na porta 22.

Editar: Olhando para a minha resposta, quero acrescentar que você provavelmente deve tempo limite da sua lista bloqueada de alguma outra forma que

"forever or at least until i drop the iptables rule"

porque você obterá muitos hits de endereços IP dinâmicos que serão posteriormente (em questão de horas, ou até minutos) reatribuídos a usuários legítimos.

Veja: link

    
por 28.09.2013 / 16:59