verificações de porta de bloqueio no servidor

Navegue suas respostas
1

Eu vejo as seguintes tentativas em /var/log/auth.log, que algumas pessoas me disseram que poderiam ser tentativas de varredura de portas. (Ainda não tenho certeza) 

Nov 18 23:50:19 server sshd[21716]: Did not receive identification string from <some IP>
Nov 19 00:05:57  server sshd[24056]: Did not receive identification string from <some IP>

Como posso bloquear acima dessas tentativas?

    
por Bond 19.11.2010 / 06:57

4 respostas

1

Se você usa o Linux, você pode usar o fail2ban .

"O Fail2ban verifica arquivos de log como / var / log / pwdfail ou / var / log / apache / error_log e proíbe IP que faz muitas falhas de senha. Ele atualiza as regras de firewall para rejeitar o endereço IP."

    
por 19.11.2010 / 10:37
0

Estou supondo que você esteja usando o linux em comparação com o FreeBSD - no entanto, as sugestões para ambos estão próximas da mesma.

Se você estiver executando um dos seguintes procedimentos:

  • RedHat v7.3, v8.0, v9.0
  • RedHat Enterprise v3, v4, v5 (32/64 bits)
  • CentOS v3, v4, v5 (32/64 bits)
  • Fedora Core v1 a v12 (32/64 bit)
  • Gentoo
  • openSUSE v10, v11
  • Debian v3.1, v4.0, v5.0
  • LTS do Ubuntu v6.06, v8.10, v9.10, v10.04
  • Mandriva 2009, 2010
  • Slackware v12.2

Eu sugeriria usar um ótimo produto GRATUITO do ConfigServer chamado CSF . O CSF tem uma ótima interface de usuário se você estiver em um servidor cPanel - mas funcionará para qualquer uma das versões linux mencionadas acima

existem outras alternativas, como APF e BFD de redes R-Fx - Google, o seguinte:   APF (Advanced Policy Firewall)   BFD (detecção de força bruta) ou apenas visite o site da Rede R-FX para detalhes adicionais.

Existe também o método de Segurança por Obscuridade - no entanto, isso não é um FIX -, mas apenas se esconder.

Primeiro, mova sua porta SSH para algo diferente de 22. Segundo - use apenas uma troca de chave ssh - e esqueça as senhas. Terceiro - só permitir SSH version2
Quarto - se você tem um IP estático - do que limitar os endereços permitidos para o ssh no seu sistema via iptables e / ou um firewall.

Se você quiser alguma ajuda para fazer qualquer um deles, não hesite em perguntar.

    
por 19.11.2010 / 08:34
0

Assim como no fail2ban, o denyhosts é bom para bloquear hosts após tentativas de login com falha, embora atualize /etc/hosts.deny para o serviço fornecido, em vez de modificar regras de firewall.

Mover seu servidor SSH para uma porta alta pode reduzir muito esse tipo de tráfego, mas, como diz Glenn, não é inerentemente mais seguro.

Se esse intervalo de tempo for indicativo da taxa em que você está vendo as tentativas, eu simplesmente o ignoraria como ruído de fundo. No entanto, se você realmente quiser ocultar seu serviço da Internet geral, considere portknocking: link

    
por 19.11.2010 / 11:49
0

Existe outra opção (mas não tão popular). Você tem que comprar outra conexão (digamos adsl) com um ip estático (ou dyndns). Configure um firewall, mova a porta ssh para um número alto e conecte esse roteador na rede a qual você quer dar acesso. se você tiver acesso físico nas máquinas, poderá ligar / desligar o roteador quando necessário.

Desta forma, você pode manter a porta aberta apenas quando quiser, sem ter que se preocupar com sua conexão principal.

    
por 26.11.2010 / 12:48

Tags

Crie a caixa de correio da sala no Exchange 2007 - não é possível exibir a agenda Diferença sutil na entrada do chkconfig