Solaris 11 proteção de força bruta sshd. Equivalente DenyHosts para o Solaris 11

Navegue suas respostas
2

Estou recebendo tentativas regulares de força bruta ssh em um servidor x86 solaris 11.1. No linux eu uso o DenyHosts para bloquear conexões depois de várias tentativas de login incorretas. Existe um pacote semelhante para o Solaris 11.1 ou quaisquer recomendações sobre outras formas alternativas para evitar a força bruta do ssh?

    
por dannix 07.10.2014 / 21:50

3 respostas

2

Any recommendations on other alternative ways to prevent brute force of ssh?

Altere a porta em que o SSH é executado. Tentativas de força bruta são em grande parte feitas contra a porta 22. 

$ sudo grep ^Port /etc/ssh/sshd_config 
Port 10022

Limite os usuários que são autorizados a se conectar , por exemplo: 

$ sudo grep ^AllowUsers /etc/ssh/sshd_config 
AllowUsers dannix
AllowUsers [email protected].*
AllowUsers [email protected]

Desativar o login root: 

$ sudo grep ^PermitRootLogin /etc/ssh/sshd_config 
PermitRootLogin no

Use autenticação de chave pública em vez de senhas.

Desative a autenticação baseada em senha (faça isso somente se você usar a autenticação de chave pública): 

$ sudo grep ^PasswordAuthentication /etc/ssh/sshd_config 
PasswordAuthentication no

Além disso, você pode usar regras de firewall para restringir quais hosts remotos podem acessar o SSH em seu sistema.

    
por 08.10.2014 / 01:26
1

A solução sugerida por Gene requer que você saiba quem vai se conectar de onde. Se isso se encaixa a sua necessidade, então você deve ir com isso. É simples. Não importa o que você deve sempre desabilitar logins root no seu daemon SSH. (no Solaris 11 em diante, logar-se na caixa externa como root não seria possível de qualquer maneira (porque o root se tornou um papel, não um usuário), então colocar essa restrição na configuração do daemon do SSH realmente não muda nada - mas ainda assim eu recomendo isso.

Se você já estiver familiarizado com DenyHosts , por que não também usá-lo no Solaris ?

De qualquer forma, outra solução (para o Solaris) é detalhada aqui . Para ataques de força bruta, mantendo uma "lista negra" no fundo. Se o mesmo IP enviar um número X de tentativas de conexão dentro do número Y de segundos, ele será colocado em uma lista negra e o IP não poderá mais tentativas. Normalmente, você deseja um toque de recolher de, digamos, 1 hora após o qual essa lista negra de um determinado IP seja removida. A coisa boa sobre a solução no link é que não requer nenhum software adicional. É realmente apenas um script que é executado para cada tentativa de conexão SSH e no Solaris 11 é muito não intrusivo, pois você não precisa alterar nenhuma configuração do sistema, instalar pacotes adicionais ou algo assim.

    
por 10.10.2014 / 12:46
0

Nesse caso, você pode jogar com MaxStartups e LoginGraceTime no SunOS sshd_config . Mas é melhor bloquear essas tentativas antes mesmo de alcançar sshd com o Solaris ipf .

Aqui você pode encontrar uma lista atualizada de IPs para bloquear: OpenBL Eu vejo tentativas muito raramente em logs, apenas usando esta lista negra.

Em seguida, você pode montar o script de tarefa cron para atualizar as regras do FW ou, opcionalmente, há o arquivo hosts.deny formatado disponível.

    
por 17.10.2014 / 11:07

Tags

Por que o Puppet precisa de duas execuções para atualizar o bash? HTTP não está terminando na LAN. Causa de hardware?