Назад | Перейти на главную страницу

Борьба с грубой силой в RHEL

Коробка замедлилась и решил vim /var/log/secure и увидел кучу методов грубой силы, пытающихся использовать ssh с именами, начинающимися с A-Z.

iptables был установлен, поэтому я добавил ip через:

iptables -I FORWARD -s [ip] -j DROP
iptables -I INPUT -s [ip] -j DROP

Похоже, он автоматически заблокировал его ip. Я сделал:

iptables -nvL|less

Это показывает, что его IP-адрес предположительно заблокирован

Chain INPUT (policy ACCEPT 26G packets, 9985G bytes)
 pkts bytes target     prot opt in     out     source               destination         
   23  1400 DROP       all  --  *      *       [HIS_IP]         0.0.0.0/0           
  26G 9985G PORTSEN    all  --  *      *       0.0.0.0/0            0.0.0.0/0  

Это все? Нужно ли мне использовать какую-либо команду для его сохранения? лайк service iptables save? Или это автоматически сохраняется?

В качестве профилактической меры я собираюсь следовать руководству и добавлять:

iptables -I INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
iptables -I INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j DROP

Достаточно ли этих мер для атак низкого и среднего уровня? Был бы признателен за любой вклад.

Вам лучше использовать такой инструмент, как fail2ban который автоматически реагирует на атаки методом грубой силы и управляет запретами IP.

Попробуйте с запретить, это в EPEL репозиторий.

DenyHosts - это скрипт, предназначенный для запуска системными администраторами Linux для предотвращения атак на сервер SSH (также известных как атаки по словарю и атаки методом грубой силы).