Verhindern, dass Angriffe auf SSH-Wörterbuch

Es gibt mehrere Würmer, die Sicherheitslücken in Angriff SSH-Server mit Wörterbüchern. Dies sollte kein Problem sein, wenn wir einen guten Passwortschutz zu erhalten, sonst gibt es noch andere Möglichkeiten, um sicherzustellen, dass unsere Service SSH.
Die offensichtlichste Art und Weise zu verhindern, den Zugang zum Host, so dass Verbindungen von einer kleinen Gruppe von IP-Adressen mit einer Firewall.

Wenn Sie derzeit eine Firewall, können Sie die folgenden:

  • SSH akzeptieren eingehende Verbindungen von vertrauenswürdigen Adressen.
  • Bounce den anderen Verbindungen.

Mit iptables-Firewall-Befehle wie folgt:

  • Alle Verbindungen aus der Adresse 192.168.1.200 Port 22 (SSH) 
    •   deathbian: ~ # iptables-A INPUT-p tcp-m state - state NEW - source 192.168.1.200 - dport 22-j ACCEPT
  • Verweigern die anderen Verbindungen zu SSH 
    •   deathbian: ~ # iptables-A INPUT-p tcp - dport 22-j DROP

Wenn Sie nicht möchten, dass die Verwendung einer Firewall können den Zugang anders. OpenSSH-Pakete für Debian sind mit Unterstützung für Verpackungen, die angeben, welche Kunden können ohne Berührung der Firewall.

Angenommen, Sie wollen den Zugang zu IP-192.168.1.200 und 172.16.100.1, dann bearbeiten Sie die Datei unter:

file: / etc / hosts.allow 
  sshd: 192.168.1.200/255.255.255.0 
  sshd: 172.16.100.1/255.255.0.0

Dann, auf den Zugang:

file: / etc / hosts.deny 
  sshd: ALL

Wir können auch die Konfigurationsdatei von SSH, diese Sicherheit hat mehrere Optionen zur Verfügung zu uns.

SSH-Dienst so konfiguriert ist, in der Datei / etc / ssh / sshd_config. Es kann notwendig sein, um den Remote-Zugriff auf bestimmte Benutzer.

Zum Beispiel, werden wir nur den Zugang für Nutzer und Joe fher98 wie folgt: 

  AllowUsers Joe fher98

Nach dem Neustart des Dienstes mit der Datei / etc / init.d / ssh restart Andere Benutzer können keine Verbindung zum Server über SSH.

Ebenso können wir explizit den Zugriff auf bestimmte Benutzer: 

  DenyUsers eingeladen usuario01

Falls erforderlich, und es wahrscheinlich ist, können wir den Zugang zu der von root, wie folgt: 

  PermitRootLogin nicht

In http://fail2ban.sourceforge.net/ finden Sie ein kleines Werkzeug in Python geschrieben, die automatisch scannt die Logs (Protokolle) der Zensur und der Zugang von IP's viele Ausfälle Passwort.

Popularity: 1% [?]