Solaris 11 sshd защита от перебора. Эквивалент DenyHosts для Solaris 11
Я получаю регулярные попытки перебрать Ssh на сервере x86 Solaris 11.1. В Linux я использую DenyHosts для блокировки соединений после нескольких попыток входа в систему. Существует ли аналогичный пакет для Solaris 11.1 или какие-либо рекомендации по другим альтернативным способам предотвращения грубой силы ssh?
3 ответа
Любые рекомендации по другим альтернативным способам предотвращения грубой силы SSH?
Смена порта SSH работает на. Попытки грубой силы в основном делаются против порта 22.
$ sudo grep ^Port /etc/ssh/sshd_config
Port 10022
Ограничьте пользователей, которым разрешено подключаться, например:
$ sudo grep ^AllowUsers /etc/ssh/sshd_config
AllowUsers dannix
AllowUsers gene@192.168.3.*
AllowUsers bill@172.16.0.100
Отключить root-логин:
$ sudo grep ^PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin no
Используйте аутентификацию с открытым ключом, а не пароли.
Отключите аутентификацию на основе пароля (делайте это только при использовании аутентификации с открытым ключом):
$ sudo grep ^PasswordAuthentication /etc/ssh/sshd_config
PasswordAuthentication no
Кроме того, вы можете использовать правила брандмауэра, чтобы ограничить доступ удаленных хостов к SSH в вашей системе.
Решение, предложенное Джином, требует, чтобы вы знали, кто и откуда будет подключаться. Если это соответствует вашим потребностям, то вы должны пойти с этим. Это просто. Независимо от того, что вы всегда должны отключить root-логины в вашем демоне SSH. (в Solaris 11 и далее вход в ящик извне как root не был бы возможен в любом случае (потому что root стал ролью, а не пользователем), поэтому введение этого ограничения в конфигурацию демона SSH на самом деле ничего не меняет - но все же я рекомендую Это).
Если вы уже знакомы с DenyHosts, почему бы не использовать его на Solaris?
В любом случае, другое решение (для Solaris) подробно описано здесь. Он останавливает атаки методом грубой силы, поддерживая "черный список" на заднем плане. Если один и тот же IP-адрес отправляет X попыток подключения в течение Y секунд, тогда он помещается в черный список, и IP-адреса не допускаются дальнейшие попытки. Как правило, вы хотите комендантский час, скажем, 1 час, после которого такие черные списки для определенного IP удаляются. Хорошая вещь о решении в ссылке, что не требует никакого дополнительного программного обеспечения. It's really just a script that gets executed for every SSH connect attempt and on Solaris 11 it is very non-intrusive as you don't have to change any system setup, install additional packages or anything like that.
В этом случае вы можете играть с MaxStartups а также LoginGraceTime в SunOS sshd_config, Но лучше всего блокировать эти попытки еще до того, как sshd с солярисом ipf,
Здесь вы можете найти довольно часто обновляемый список заблокированных IP-адресов: OpenBL Я очень редко вижу попытки в журналах, просто используя этот черный список.
Затем вы можете собрать скрипт задания cron для обновления правил FW или, если нужно, hosts.deny форматированный файл доступен.