Eu tenho uma máquina debian executando vários serviços, como o apache com http e https, jabber e um servidor openssh para administração. O ssh-server não está rodando na porta 22. Está em algo como a porta 62111. Eu protejo o openssh com o fail2ban. Assim, sempre que um invasor tenta se conectar ao ssh na porta 62111, ele tem duas tentativas antes de ser banido por dois dias pelo fail2ban na porta 62111.
Eu gostaria de iniciar um SSH-Server (falso) na porta 22 e sempre que alguém tenta se conectar a essa porta ele é banido da porta all pelo iptables para sempre ou pelo menos até eu soltar o regra de iptables. Qualquer conexão SSH legal não tentará o ssh para a porta 22, porque todo administrador conhece a porta SSH correta.
A ideia é que um invasor tente atacar a porta 22 primeiro. Portanto, ele nem sequer teve a chance de tentar SSH para a porta 62111. Eu não me importo com esses crackers para ver o meu site. Então, é bom bloqueá-los em qualquer porta (incluindo 80 e 443).
Alguma sugestão sobre como fazer isso?
Vou tentar sugerir outra solução para o paranóico:)
E, claro, apenas a autenticação por chave ssh.
Nenhuma boa ideia (IMHO).
Uma conexão com a porta 22 não significa automaticamente que alguém está tentando invadir seu servidor.
Para proteger seu servidor de hacker / cracker, siga algumas regras simples (ex).
Eu quero rodar o sshd em outra porta e ainda usar o mesmo fail2ban etc - Eu encontrei um manual muito bom e similar aqui: link
Repostará e alterará as coisas para você aqui:
O objetivo é executar o mesmo daemon com duas portas diferentes e desabilitar qualquer tipo de autenticação em uma instância.
Copiar configuração:
cd / etc / ssh / sshd_config / etc / ssh / sshd_config-fake
altere a configuração de acordo com isso:
altere Port , SyslogFacility , *Authentication strings (desative para falso), PidFile
crie symlink: ln -s / usr / sbin / sshd /usr/sbin/sshd-fake
crie um script de inicialização: cp /etc/init.d/sshd /etc/init.d/sshd-fake e modifique o conteúdo do arquivo sshd-fake de acordo.
altere / etc / sysconfig / sshd-fake: OPTIONS="-f /etc/ssh/sshd_config-fake"
adicione o serviço chkconfig --add sshd-fake
crie uma configuração de pam: cp /etc/pam.d/sshd /etc/pam.d/sshd-fake
edite o /etc/pam.d/sshd-fake e desative tudo, ou use um método diferente, como permitir que os usuários listados no arquivo: link
serviços de reinicialização: service sshd restart;service sshd-fake restart;chkconfig sshd-fake on
configure o fail2ban de acordo
Isso pode não ser o mais elegante, mas deve ser rápido e funcional:
iptables -I INPUT --m recent --name blocked --rcheck -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --name blocked --set
Explicação:
Insira uma regra de firewall (no topo) na cadeia de entrada, que verifica se o endereço de origem do pacote está atualmente na lista "bloqueada" e, se estiver, DROP it.
Insira outra regra de firewall (acima da que acabamos de inserir) na cadeia de entrada que adiciona o endereço de origem de qualquer tentativa de conexão à porta 22 para a lista "bloqueada".
Não vejo a necessidade de realmente executar um servidor (falso) ou qualquer ouvinte na porta 22.
Editar: Olhando para a minha resposta, quero acrescentar que você provavelmente deve tempo limite da sua lista bloqueada de alguma outra forma que
"forever or at least until i drop the iptables rule"
porque você obterá muitos hits de endereços IP dinâmicos que serão posteriormente (em questão de horas, ou até minutos) reatribuídos a usuários legítimos.
Veja: link