Считается ли по-прежнему «сканированием портов», когда скрипты пытаются подключиться к SSH со списком общих имен учетных записей или пытаются использовать несколько паролей для «root» или «mail» (или аналогичных)? Я надеюсь найти способ заблокировать их, но не знаю, что искать.
Когда я представляю себе термин port scan
Я думаю об использовании NMAP (или его эквивалента), чтобы узнать, что открыто в iptables. Просто любопытно, попадает ли это в ту же категорию.
Некоторые из моих систем регистрируют несколько тысяч в день. Это раздражает.
Все системы - CentOS / RHEL.
РЕДАКТИРОВАТЬ: ограничение iptables выглядит многообещающим. В конце концов, мне, возможно, придется настроить VPN для всего действительного трафика и использовать что-то вроде «fail2ban» на моих общедоступных серверах.
Здесь вам может понадобиться что-то вроде «заблокировать неудачные попытки входа в ssh», «заблокировать грубую силу ssh» или даже «остановить вредоносные входы в ssh».
Очень популярный инструмент для их устранения - fail2ban. Он может следить за вашими журналами на предмет неудачных попыток входа в систему по SSH и блокировать нарушающий IP-адрес после ряда сбоев в течение определенного времени.
Еще несколько советов по усилению безопасности SSH:
Это подпадало бы под категорию атаки методом перебора.
Это можно предотвратить с помощью iptables
используя --seconds
и --hitcount
флаги для эффективного ограничения скорости количества попыток в секунду. Единственным недостатком этого является то, что злоумышленник может настроить скорость атаки, чтобы не срабатывать правила, но обычно атаки на самом деле не отслеживаются так хорошо.
Вам также следует отключить вход в систему с правами root и использовать ключи SSH, если вы еще этого не сделали / еще не сделали. Это в основном делает атаки бессмысленными.
Ваш вероятный кандидат на поисковый запрос - "попытки перебора ssh".
Хотя изменение вашего SSH-порта не повысит безопасность вашей сети, оно предупредит вас о злонамеренном пользователе, нацелившемся на вашу машину с чуть большей внимательностью, чем ленивые сценарии «попробуйте root: root на порту 22». Я лично использую этот подход на своих серверах, чтобы мои журналы оставались относительно тихими.
Нет, попытка подключиться к учетной записи, более того, активное использование случайных паролей, - это гораздо больше, чем просто проверка, прослушивает ли кто-нибудь конкретный порт. Даже подключившись, чтобы получить баннер, например, веб-сервер можно рассматривать не только как «сканирование портов».