Назад | Перейти на главную страницу

Ограничение неудачных попыток входа по SSH

Я хотел бы ограничить количество повторных попыток отказа на моей машине Fedora до 5. Я думаю, что смогу добиться этого с помощью PAM. Но не смог этого сделать.

Я сослался на эту статью, чтобы сделать это

http://www.puschitz.com/SecuringLinux.shtml

Пожалуйста, предоставьте предложения

Вам может быть интересно fail2ban.

Просто измените файл / etc / ssh / sshd_config; Добавить

MaxAuthTries 5

и перезапустите sshd.

Я использую правило iptables, которое ограничивает количество подключений по SSH не более 10 в минуту. После 10 подключений (или попыток) новые входящие подключения с этого IP-адреса отбрасываются, что обычно достаточно для того, чтобы потенциальные взломщики ушли.

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSH -j DROP

Еще один динамический блокировщик соединений, основанный на неудачных попытках входа в систему, - это DenyHosts. Он работает аналогично fail2ban, но специально нацелен на попытки входа в систему через ssh. В последний раз, когда я настраивал его, мне было очень легко настроить его.

Нет оправдания тому, что сервер будет принимать множество неудачных попыток входа с того же IP-адреса или в течение определенного периода времени! Это просто неаккуратное управление. (Или, можно утверждать, неаккуратный код сервера Linux. :-)

У меня есть несколько скриптов Python на моих выделенных серверах LAMP, которые делают это и многое другое. У меня также есть несколько записей IPTABLES, которые работают намного быстрее для определенных портов.

Один раз в минуту (задание cron) несколько скриптов Python сканируют несколько файлов журнала на предмет вредоносной активности (например, фразы «неверный пароль» или «неизвестный пользователь»). IP-адрес, по которому возникла ошибка, временно блокируется (обычно на 2 недели). Это работает не только для неудачных попыток входа в систему SSH, но и для многих других злонамеренных атак, таких как неудачные попытки входа в электронную почту или попытки заставить сервер рассылать спам.

Публиковать здесь полное решение слишком сложно, но приведенное выше должно заставить чьи-то клетки мозга работать в правильном направлении.