Бросить брутфорсеры в приманку, но все же разрешить реальные SSH-логины?
Так что ради интереса я открыл SSH для всего мира, и несколько ботов зацепились за мой сервер (безуспешно пытаясь войти по паролю). Но, конечно, это заполняет журналы. Я пытался использовать DenyHosts, но почему-то это не сработало, поэтому я подумал: "Почему бы не использовать honeypot?"
Проблема в том, что я хочу разрешить хорошие входы в систему при отправке всех остальных в honeypot.
Есть ли способ отфильтровать правильные логины на реальном сервере SSH и оставить всех остальных в honeypot?
2 ответа
Если вы хотите разрешить законные входы SSH при запрете (через honeypot) поддельные, я бы изменил тактику.
Поместите свой SSHD в другой порт, например 2323 или другой странный порт, и перенаправьте соединения на него. В идеале для этого у вас есть отдельная машина, поэтому вы можете указать маршрутизатору переадресовать порт 2323 на порт XYZ внутренней машины 22.
Откройте порт 22, который будет перенаправлен на вашу ABC-машину honeypot на порт 22.
Если это вообще возможно, настройте свою сеть так, чтобы honeypot находился в демилитаризованной зоне от ваших законных сетевых систем. В противном случае вы просите проблемы.
Использование такого инструмента, как fail2ban, в качестве отправной точки позволит вам относиться к тем, кто пытается использовать грубую силу, иначе, чем к законным пользователям.
Обычно fail2ban просто отклоняет соединения, но я думаю, что не составит труда изменить его, чтобы вместо этого перенаправить соединения в honeypot.
Сложная часть на самом деле будет ключом хоста. С одной стороны, вы не хотите, чтобы honeypot имел доступ к вашему ключу хоста по соображениям безопасности. Но с другой стороны, вы не хотите, чтобы злоумышленники заметили, что они направлены на другой SSH-сервер.