Назад | Перейти на главную страницу

Это «сканирование портов»?

Считается ли по-прежнему «сканированием портов», когда скрипты пытаются подключиться к SSH со списком общих имен учетных записей или пытаются использовать несколько паролей для «root» или «mail» (или аналогичных)? Я надеюсь найти способ заблокировать их, но не знаю, что искать.

Когда я представляю себе термин port scan Я думаю об использовании NMAP (или его эквивалента), чтобы узнать, что открыто в iptables. Просто любопытно, попадает ли это в ту же категорию.

Некоторые из моих систем регистрируют несколько тысяч в день. Это раздражает.

Все системы - CentOS / RHEL.

РЕДАКТИРОВАТЬ: ограничение iptables выглядит многообещающим. В конце концов, мне, возможно, придется настроить VPN для всего действительного трафика и использовать что-то вроде «fail2ban» на моих общедоступных серверах.

Здесь вам может понадобиться что-то вроде «заблокировать неудачные попытки входа в ssh», «заблокировать грубую силу ssh» или даже «остановить вредоносные входы в ssh».

Очень популярный инструмент для их устранения - fail2ban. Он может следить за вашими журналами на предмет неудачных попыток входа в систему по SSH и блокировать нарушающий IP-адрес после ряда сбоев в течение определенного времени.


Еще несколько советов по усилению безопасности SSH:

  1. Отключите прямой вход root, если вы еще этого не сделали. Это одна из основных вещей, которую вы действительно должны сделать, если хотите считать свой сервер в целом безопасным.
  2. Отключите аутентификацию по паролю и вместо этого используйте аутентификацию с открытым ключом. Еще одно важное. Неважно, сколько они угадывают правильный пароль, если пароли ни к чему не приведут. Кроме того, использование пары ключей для входа в систему очень удобно, если вы используете менеджер ключей на стороне клиента.
  3. Используйте нестандартный порт. Вы можете использовать что-то вроде 2222 или, желательно, что-то еще менее очевидное. По моему опыту, это приводит к резкому снижению количества неудачных попыток входа в систему. Хотя, как отмечали другие люди в комментариях, вы должны иметь в виду, что открытые порты по-прежнему легко обнаруживаются при сканировании портов, и для законных пользователей может быть неудобно вход в систему.
  4. Блокируйте неудачные попытки с помощью fail2ban. Я бы посоветовал вам иметь какой-то план Б на случай, если вы случайно заблокируете себя. Если вы можете повторить попытку с другого IP-адреса, вы можете разблокировать себя.
  5. Воплощать в жизнь стук порта. Это, вероятно, излишество, но если оно будет реализовано, то количество неудачных попыток входа в систему сведется к нулю. Это может быть ОЧЕНЬ неудобно для законных пользователей, желающих войти в систему. Вы должны пройти через песню и танец выполнения секретного стука каждый раз, когда вы хотите войти в систему. Забудьте о входе в систему с помощью смартфона.

Это подпадало бы под категорию атаки методом перебора.

Это можно предотвратить с помощью iptables используя --seconds и --hitcount флаги для эффективного ограничения скорости количества попыток в секунду. Единственным недостатком этого является то, что злоумышленник может настроить скорость атаки, чтобы не срабатывать правила, но обычно атаки на самом деле не отслеживаются так хорошо.

Вам также следует отключить вход в систему с правами root и использовать ключи SSH, если вы еще этого не сделали / еще не сделали. Это в основном делает атаки бессмысленными.

Ваш вероятный кандидат на поисковый запрос - "попытки перебора ssh".

Хотя изменение вашего SSH-порта не повысит безопасность вашей сети, оно предупредит вас о злонамеренном пользователе, нацелившемся на вашу машину с чуть большей внимательностью, чем ленивые сценарии «попробуйте root: root на порту 22». Я лично использую этот подход на своих серверах, чтобы мои журналы оставались относительно тихими.

Нет, попытка подключиться к учетной записи, более того, активное использование случайных паролей, - это гораздо больше, чем просто проверка, прослушивает ли кто-нибудь конкретный порт. Даже подключившись, чтобы получить баннер, например, веб-сервер можно рассматривать не только как «сканирование портов».