Evitando ataques de força bruta

Não é para todos os gostos, mas eu realmente gosto de DenyHosts para o bloqueio de escovas automáticas de sshs:

link

Eu o uso de um modo muito paranoico, se você tropeçar - você obtém uma entrada em hosts.deny com um prefixo ALL:, não apenas um SSH: um. Você pode permitir que os denyhosts limpem a lista de denúncia periodicamente, se assim desejar.

Confira o fail2ban. link é muito útil para evitar ataques de força bruta em servidores http, ftp, stmp, etc.

No SSH, dicas:
- Definir PermitRootLogin no
- Definir MaxStartups 1
- Definir MaxAuthTries 3 (ou menos)

Isso para autenticação de senha. Eu evitaria o ataque de força bruta usando o RSAAuthentication com chaves públicas com uma boa senha só disponível para os usuários que eu quero.

Altere também a porta padrão usada para o SSH e use outra distinta para 22 na faixa livre disponível e defina o iptables para filtrar o tráfego.

Você também pode usar o iptables para limitar a taxa de qualquer porta desejada. É muito flexível.

Estou usando o OSSEC , que não é muito difícil de instalar e configurar.

Primeiro, verifique se o módulo está lá ou não /lib/security/pam_tally2.so

Para proteger o usuário do ataque de força bruta: Em seguida, edite /etc/pam.d/system-auth

Adicione na última linha:

auth required pam_tally2.so deny=3 unlock_time=3600
account required pam_tally2.so

Abra outra terminação e verifique usando o nome de usuário e a senha incorreta.

Para bloquear um usuário específico: edite /etc/pam.d/system-auth Adicione na última linha

auth required pam_tally2.so deny=3 unlock_time=3600 even_deny_root
account required pam_tally2.so

Abra outra terminação e verifique usando o nome de usuário e a senha incorreta.

Notas: pam_tally2 - > este comando é usado para armazenar o número de registros de falha em pam_tally2 -u kannan - > veja apenas os registros de falha do usuário kannan em pam_tally2 -u username –r - > redefinir manualmente o usuário bloqueado

"Você também pode considerar proteger seu domínio do nível de DNS. Algo como CloudFlare"

Na verdade, não podemos fazer proxy de tráfego nessas portas (SSH, ftp) porque trabalhamos apenas no tráfego da Web (portas como 80 e 443). Você pode querer ver algo como Dome9 .

use o módulo 'recente' do Netfilter e elimine-o pela raiz no nível do kernel. Além disso, essa solução não é específica do aplicativo (isto é, não depende da configuração do aplicativo)

veja link

Você também pode considerar proteger seu domínio do nível de DNS. Algo como CloudFlare Ou Incapsula .

Ambos oferecem planos gratuitos, mas acabam sendo pagos por serviços.

Eu uso o serviço gratuito para o meu site. Ele não bloqueia todos os ataques, mas é tudo sobre as camadas de segurança.

Eu não usei isso sozinho, mas guarda ssh parece interessante.

Tente ler Linux Security HOWTO em TLDP e, em seguida, possivelmente refine sua pergunta se ela não fornecer a resposta já.

EDITAR (após a atualização da pergunta): Além de todos os itens acima (mais classificáveis como detecção de intrusão), também há batida de portas.

Não impede ataques de força bruta, mas endurece o sistema de várias maneiras

• torna o sistema menos interessante (devido a portas que aparecem fechadas)
• adiciona outra camada de proteção aumentando a dificuldade de um ataque bem-sucedido (possíveis combinações para 10 batidas de portas em 256 portas possíveis são 256 ^ 10 > 94 ^ 10, onde 94 é o número de todos os caracteres ASCII imprimíveis)
• torna um ataque 'alto' (mais fácil de capturar com sistemas de detecção de intrusão)
• os early adopters tiram proveito de sair da zona de 'low-hanging-fruit' (da mesma forma que usar senhas strongs simplesmente faz com que você pare de ser um alvo para certos atacantes)

Eu achei esta resposta à crítica do sistema bastante informativa.