내 서버가 공격을 받고 있습니다. 이런 종류의 시도를 기록하고 있습니다.
Sep 22 06:39:11 s1574**** sshd[16453]: Failed password for invalid user amber from 64.215.17.4 port 35182 ssh2
Sep 22 04:39:11 s1574**** sshd[16454]: Received disconnect from 64.215.17.4: 11: Bye Bye
Sep 22 06:39:11 s1574**** sshd[16457]: Invalid user amber from 64.215.17.4
Sep 22 04:39:11 s1574**** sshd[16458]: input_userauth_request: invalid user amber
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): check pass; user unknown
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=dns2.rsd.com
Sep 22 06:39:11 s1574**** sshd[16457]: pam_succeed_if(sshd:auth): error retrieving information about user amber
Sep 22 06:39:14 s1574**** sshd[16457]: Failed password for invalid user amber from 64.215.17.4 port 35842 ssh2
Sep 22 04:39:14 s1574**** sshd[16458]: Received disconnect from 64.215.17.4: 11: Bye Bye
3번 이상의 거부가 있을 때 IP를 차단하는 등 이러한 종류의 액세스 시도를 차단하려면 어떻게 해야 합니까?
답변1
를 사용하면 분당 로그인 시도 횟수를 제한할 수 있습니다
iptables
. 이러한 규칙은 세 번의 로그인 시도 후 1분 동안 IP를 차단합니다.괴짜 일기 – Netfilter와recent
모듈을 사용하여 SSH 무차별 대입 공격 완화):iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m 최근 --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m 최근 --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m 최근 --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
더 구성 가능한 sikytion을 원한다면 다음을 사용할 수 있습니다.실패2금지또는거부호스트SSHd 로그를 분석하고 의심스러운 IP 주소를 차단합니다.
답변2
가장 좋은 방법은 iptables를 사용하여 필요하지 않은 모든 포트를 차단하고 로그인에 개인 키를 사용하도록 SSH를 설정하는 것입니다. Putty와 MobaXterm(둘 다 무료 SSH 클라이언트)이 개인 키 로그인을 지원한다는 것을 알고 있습니다. 그런 다음 /etc/ssh/sshd_config 내부에서 다음을 제거하십시오.
PermitRootLogin yes
그리고 다음을 추가하세요:
PermitRootLogin without-password
이렇게 하면 루트 비밀번호를 알고 있더라도 해당 비밀번호로 로그인할 수 없게 됩니다.
iptables 규칙을 사용하여 서버를 정체시키지 않도록 제한할 수 있습니다.
답변3
Denyhosts 소프트웨어를 설치하십시오. 이러한 해커 IP를 자동으로 호스트 거부에 나열합니다. 패키지는 epel 저장소에서 사용할 수 있습니다.