Брутят SSH доступ

Тема в разделе "BSD", создана пользователем Carleone, 10 янв 2013.

  1. Carleone

    Carleone Постоялец

    Заблокирован
    Регистр.:
    8 ноя 2012
    Сообщения:
    51
    Симпатии:
    39
    Нагло второй день пытаются сбрутить SSH доступ к серверу.
    Что можно предпринять?
     
  2. PapaJoe

    PapaJoe

    Регистр.:
    4 авг 2008
    Сообщения:
    620
    Симпатии:
    311
    Поменяй порт со стандартного на другой - вряд ли кто догадается.
     
    ipbfan2008, Extalionez и Carleone нравится это.
  3. ReBeL

    ReBeL Злобный старикашка

    Регистр.:
    3 май 2006
    Сообщения:
    1.564
    Симпатии:
    851
    man fail2ban для начала =)
    в jail.conf изменить стандартное время бана на большее - у меня стоит 6000 секунд и боты обычно второй раз не заходят =)

    Ну и для начала статью почитать - http://www.lissyara.su/articles/freebsd/security/fail2ban/
     
    ipbfan2008 и Carleone нравится это.
  4. efs

    efs SEO оптимизатор дискрипторов одностраничных сайтов

    Moderator
    Регистр.:
    20 ноя 2009
    Сообщения:
    824
    Симпатии:
    475
    в /etc/ssh/sshd_conf указать PermitRootLogin no пусть продолжают ломиться :crazy:
    самому логиниться под обычным пользователем и при необходимости поднимать привилегии при помощи "su"
     
    Carleone нравится это.
  5. Carleone

    Carleone Постоялец

    Заблокирован
    Регистр.:
    8 ноя 2012
    Сообщения:
    51
    Симпатии:
    39
    Вот кста что интересно, почти все ип (прокси) Китайские, суть вопроса наверное в том, как избавится от лишней нагрузки на сервер, думаю поменяю порт и посмотрю на fail2ban.
     
  6. ReBeL

    ReBeL Злобный старикашка

    Регистр.:
    3 май 2006
    Сообщения:
    1.564
    Симпатии:
    851
    Смена номера порта обычно от совсем неопытных и от паблик ботов спасает только.
    Нормальный бот сначала сканирует порты, а потом на найденые ломится брутить.
     
    Carleone нравится это.
  7. PapaJoe

    PapaJoe

    Регистр.:
    4 авг 2008
    Сообщения:
    620
    Симпатии:
    311
    Насчет неопытных не скажу, но если поставить очень сложный пароль, который будет где-нибудь записан на бумажке, а потом авторизовываться по rsa-ключу(не по паролю) - и брутеру облом и тебе запарок нет.

    Ну или восем другой варик - доступ(в т.ч. авторизация) только с одного ip, который доступен только тебе(выделенный прокси или свой же комп с выделенным ip) - всех ботов и брутеров как на корню....
     
    Carleone нравится это.
  8. barabula

    barabula Нарушитель

    Регистр.:
    21 май 2009
    Сообщения:
    470
    Симпатии:
    77
    Я бы посотоветовал вам сменить порт как писалось выше + зашиту по ай-пи поставить как это реализовано у меня, но с одним нюансом, я разрешил несколкьо ай-пи, в т.ч. моего второго системника + ещё одного администратора сервера, в случае если у кого-то меняется ай-пи, то другие вносят его вновь. а твоем же месте я б ввел ай-пи пары друзей при помощи которых ты сможешь зайти и вбить свой новый ай-пи( в случае если он поменяется)
     
    Carleone нравится это.
  9. stooper

    stooper hoster

    Moderator
    Регистр.:
    14 апр 2006
    Сообщения:
    528
    Симпатии:
    312
    если разговор пошел о FreeBSD, то можно обойтись без установки дополнительного софта и смены порта(хотя менять порт - это норм. вариант). Достаточно простой и эффективный антибрут при помощи фаерволла:
    т.е. хулиган 5 соединений к sshd за 30 секунд сделал, и пошел отдыхать :)
     
    Carleone нравится это.
  10. Qwest-fx

    Qwest-fx Постоялец

    Регистр.:
    3 апр 2007
    Сообщения:
    129
    Симпатии:
    39
    Проскакивала тема подключения к ssh по принципу кодового замка.
    Обращаемся на определённые порты(в определённом порядке), включается ssh, ну а дальше как хочется, {passwd,rsa-key}
    Как такое реализовано, просьба со ссылками, и другими плюшками. Ну очень интересно.