Коробка замедлилась и решил vim /var/log/secure
и увидел кучу методов грубой силы, пытающихся использовать ssh с именами, начинающимися с A-Z.
iptables
был установлен, поэтому я добавил ip через:
iptables -I FORWARD -s [ip] -j DROP
iptables -I INPUT -s [ip] -j DROP
Похоже, он автоматически заблокировал его ip. Я сделал:
iptables -nvL|less
Это показывает, что его IP-адрес предположительно заблокирован
Chain INPUT (policy ACCEPT 26G packets, 9985G bytes)
pkts bytes target prot opt in out source destination
23 1400 DROP all -- * * [HIS_IP] 0.0.0.0/0
26G 9985G PORTSEN all -- * * 0.0.0.0/0 0.0.0.0/0
Это все? Нужно ли мне использовать какую-либо команду для его сохранения? лайк service iptables save
? Или это автоматически сохраняется?
В качестве профилактической меры я собираюсь следовать руководству и добавлять:
iptables -I INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
iptables -I INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j DROP
Достаточно ли этих мер для атак низкого и среднего уровня? Был бы признателен за любой вклад.
Вам лучше использовать такой инструмент, как fail2ban который автоматически реагирует на атаки методом грубой силы и управляет запретами IP.