Сервер Ubuntu SSH

Вот что я делаю, чтобы избежать атак грубой силы:

• Изменить порт ssh
• Установить denyhosts
• Ограничить количество подключений в секунду на ssh-порту
• Используйте только ключевой ssh ​​без root, вместо этого используйте sashroot, если необходимо, или консольный вход
• стук порта для открытия порта ssh в некоторых случаях

[РЕДАКТИРОВАТЬ]

• создайте группу canssh, добавьте в нее людей, которым я хочу дать ssh, добавьте «AllowGroups canssh» в sshd_config. И установите DENY_THRESHOLD_ (IN) VALID * / ROOT в denyhosts на 1, например один неправильный ssh ​​в качестве пользователя root или (in) действительного пользователя, и ваш IP заблокирован, добавьте мои IPS в hosts.allow, создайте ~ / .ssh / config и определите, какой ssh-ключ использовать для какого сервера и создайте псевдонимы, например:
  • псевдоним ssyc = 'ssh shoaibi@yahoo.com -i yahoo-com.identity.rsa'

[/РЕДАКТИРОВАТЬ]

[РЕДАКТИРОВАТЬ]

• Используйте logwatch для отправки важных журналов по электронной почте ...

[/РЕДАКТИРОВАТЬ]

И, как упоминалось ранее, в случае атак ботов они пробуют по умолчанию 22, так что я думаю, вы больше не являетесь целью.

Ссылки:

• https://help.ubuntu.com/community/PortKnocking
• https://help.ubuntu.com/community/InstallingSecurityTools
• http://www.ubuntugeek.com/securing-ssh.html
• http://www.google.com.pk/search?hl=en&q=iptables+OR+shorewall+limit+ssh+connections+per+sec
• http://www.linux.com/feature/34958
• http://www.howtoforge.com/ssh_key_based_logins_putty

Пока вы ничего не изменили, кроме номера порта, на ведение журнала не повлияет.

Попытки, вероятно, генерируются ботами, пытающимися получить легкий доступ. Если кто-то специально не нацеливается на вашу систему, они даже не будут смотреть на другой порт.

Безопасность неизвестностью.

Никакая автоматическая атака не будет пытаться использовать другие порты, поскольку есть множество SSH-серверов на 22, которые можно попробовать.

Если все, что вам нужно от миграции порта, - это уменьшить спам в журналах, это нормально, но вам не следует полагаться на него для реальной безопасности.

Я сделал то же самое, чтобы обеспечить такое же преимущество предотвращения записей в журнале.

Для дополнительного веселья (и если у вас есть время убить) реализуйте Port Knocking:

http://en.wikipedia.org/wiki/Port_knocking

Как отмечали другие, изменение порта остановит раздражающий спам в журналах и дополнительный трафик, но не является мерой безопасности, поскольку неясность не означает безопасность.

Хорошей идеей может быть проверка паролей в вашей системе с помощью взломщика паролей и / или установка новых паролей с использованием методологии, подобной описанной здесь в документации Redhat: http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/en-US/Security_Guide/s1-wstation-pass.html

Ваш журнал не должен отличаться из-за смены порта.

Вы также можете посмотреть настройку denyhosts или fail2ban.

Взгляните сюда - 20 лучших советов по безопасности OpenSSH: http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

Вы можете ограничить скорость атаки методом перебора с помощью iptables:

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m latest --update --seconds 60 --hitcount 3 --rttl --name SSH --rsource -j LOG --log-prefix "ATTACK SSH ГРУБАЯ СИЛА "
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m latest --update --seconds 60 --hitcount 3 --rttl --name SSH --rsource -j DROP
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m latest --set --name SSH --rsource -j ACCEPT

Если у вас должно быть подключение для входа в систему, вы также можете ограничить разрешенных пользователей для подключения, отредактировав /etc/pam.d/ssh и добавив строку:

auth required pam_listfile.so item=user sense=allow file=/etc/sshusers_allowed onerr=fail

Создайте файл / etc / sshusers_allowed и поместите всех разрешенных пользователей построчно.

Возможно перезапуск ssh, не уверен.