Защитить ssh-сервер

Question 1

Я попробую предложить вам другое решение для параноиков:)

http://www.portknocking.org/view/

Он работает, требуя попыток подключения к серии предопределенных закрытых портов. Когда получена правильная последовательность портовых "стуков" (попыток подключения), брандмауэр открывает определенный порт(ы), чтобы разрешить подключение.

И, конечно же, только аутентификация по ключу SSH.

Answer

Я попробую предложить вам другое решение для параноиков:)

http://www.portknocking.org/view/

Он работает, требуя попыток подключения к серии предопределенных закрытых портов. Когда получена правильная последовательность портовых "стуков" (попыток подключения), брандмауэр открывает определенный порт(ы), чтобы разрешить подключение.

И, конечно же, только аутентификация по ключу SSH.

Question 2

Не очень хорошая идея (на мой взгляд).

Подключение к порту 22 не означает автоматически, что кто-то пытается взломать ваш сервер.

Чтобы защитить свой сервер от хакеров/взломщиков, следуйте нескольким простым правилам (например).

Используйте такие инструменты, как fail2ban
всегда поддерживайте актуальность своих сервисов (ssh, http,...)
используйте надежные пароли (и меняйте их циклически)
использовать ssh-ключи для sshd и отключить аутентификацию по паролю

Answer

Не очень хорошая идея (на мой взгляд).

Подключение к порту 22 не означает автоматически, что кто-то пытается взломать ваш сервер.

Чтобы защитить свой сервер от хакеров/взломщиков, следуйте нескольким простым правилам (например).

Используйте такие инструменты, как fail2ban
всегда поддерживайте актуальность своих сервисов (ssh, http,...)
используйте надежные пароли (и меняйте их циклически)
использовать ssh-ключи для sshd и отключить аутентификацию по паролю

Question 3

Если вы хотите запустить sshd на другом порту и по-прежнему использовать тот же fail2ban и т. д. - я нашел очень хорошее похожее руководство здесь:http://www.kudos.be/multiple_sshd

Я переопубликую и изменю кое-что для вас здесь:

Цель состоит в том, чтобы запустить один и тот же демон на двух разных портах и отключить любую аутентификацию на одном экземпляре.

Копировать конфигурацию:

cd /etc/ssh/sshd_config /etc/ssh/sshd_config-fake
изменить конфигурацию в соответствии с этим:

изменить Port, SyslogFacility, *Authenticationстроки (отключить для подделки),PidFile
создать символическую ссылку: ln -s /usr/sbin/sshd /usr/sbin/sshd-fake
создайте скрипт инициализации: cp /etc/init.d/sshd /etc/init.d/sshd-fakeи измените содержимое файла sshd-fake соответствующим образом.
изменить /etc/sysconfig/sshd-fake:OPTIONS="-f /etc/ssh/sshd_config-fake"
добавить услугуchkconfig --add sshd-fake
создайте конфигурацию pam:cp /etc/pam.d/sshd /etc/pam.d/sshd-fake
отредактируйте /etc/pam.d/sshd-fake и запретите все, или используйте другой метод, например, разрешите пользователям, перечисленным в файле:http://linux.die.net/man/8/pam_listfile
перезапустить службы:service sshd restart;service sshd-fake restart;chkconfig sshd-fake on
настроить fail2ban соответствующим образом

Answer

Если вы хотите запустить sshd на другом порту и по-прежнему использовать тот же fail2ban и т. д. - я нашел очень хорошее похожее руководство здесь:http://www.kudos.be/multiple_sshd

Я переопубликую и изменю кое-что для вас здесь:

Цель состоит в том, чтобы запустить один и тот же демон на двух разных портах и отключить любую аутентификацию на одном экземпляре.

Копировать конфигурацию:

cd /etc/ssh/sshd_config /etc/ssh/sshd_config-fake
изменить конфигурацию в соответствии с этим:

изменить Port, SyslogFacility, *Authenticationстроки (отключить для подделки),PidFile
создать символическую ссылку: ln -s /usr/sbin/sshd /usr/sbin/sshd-fake
создайте скрипт инициализации: cp /etc/init.d/sshd /etc/init.d/sshd-fakeи измените содержимое файла sshd-fake соответствующим образом.
изменить /etc/sysconfig/sshd-fake:OPTIONS="-f /etc/ssh/sshd_config-fake"
добавить услугуchkconfig --add sshd-fake
создайте конфигурацию pam:cp /etc/pam.d/sshd /etc/pam.d/sshd-fake
отредактируйте /etc/pam.d/sshd-fake и запретите все, или используйте другой метод, например, разрешите пользователям, перечисленным в файле:http://linux.die.net/man/8/pam_listfile
перезапустить службы:service sshd restart;service sshd-fake restart;chkconfig sshd-fake on
настроить fail2ban соответствующим образом

Question 4

Это, возможно, не самый элегантный вариант, но он должен быть быстрым и функциональным:

iptables -I INPUT --m recent --name blocked --rcheck -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --name blocked --set

Объяснение:

Вставьте правило межсетевого экрана (вверху) во входную цепочку, которое проверяет, находится ли исходный адрес пакета в списке «заблокированных», и если это так, ОТБРАСЫВАЕТ его.

Вставьте еще одно правило брандмауэра (выше того, которое мы только что вставили) во входную цепочку, которое добавляет исходный адрес любой попытки подключения к порту 22 в список «заблокированных».

Я не вижу необходимости запускать (поддельный) сервер или какой-либо прослушиватель на порту 22.

Редактировать: Глядя на мой ответ, я хочу добавить, что вам, вероятно, следует ограничить время действия вашего списка заблокированных каким-то другим способом, а не

«навсегда или по крайней мере пока я не отменю правило iptables»

поскольку вы получите много обращений с динамических IP-адресов, которые позже (в течение нескольких часов или даже минут) будут переназначены законным пользователям.

Видеть:http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html#ss3.16

Answer

Это, возможно, не самый элегантный вариант, но он должен быть быстрым и функциональным:

iptables -I INPUT --m recent --name blocked --rcheck -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --name blocked --set

Объяснение:

Вставьте правило межсетевого экрана (вверху) во входную цепочку, которое проверяет, находится ли исходный адрес пакета в списке «заблокированных», и если это так, ОТБРАСЫВАЕТ его.

Вставьте еще одно правило брандмауэра (выше того, которое мы только что вставили) во входную цепочку, которое добавляет исходный адрес любой попытки подключения к порту 22 в список «заблокированных».

Я не вижу необходимости запускать (поддельный) сервер или какой-либо прослушиватель на порту 22.

Редактировать: Глядя на мой ответ, я хочу добавить, что вам, вероятно, следует ограничить время действия вашего списка заблокированных каким-то другим способом, а не

«навсегда или по крайней мере пока я не отменю правило iptables»

поскольку вы получите много обращений с динамических IP-адресов, которые позже (в течение нескольких часов или даже минут) будут переназначены законным пользователям.

Видеть:http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html#ss3.16

Защитить ssh-сервер

решение1

решение2

решение3

решение4

Связанный контент