Ubuntu Server SSH

Чтобы избежать атак грубой силы, вот что я делаю:

• Изменить порт SSH
• Установить денихостов
• Ограничить количество подключений в секунду по порту ssh
• Используйте только ключ, но не root ssh, вместо этого используйте sashroot, если необходимо, или консольный вход
• стук порта, чтобы открыть порт ssh в некоторых случаях

[РЕДАКТИРОВАТЬ]

• создайте группу canssh, добавьте к ней людей, которым я хочу дать ssh, добавьте "AllowGroups canssh" в sshd_config. И установите для DENY_THRESHOLD_(IN)VALID*/ROOT в denyhosts значение 1, например, один неверный ssh ​​как root или (in) действительный пользователь, и ваш ip заблокирован, добавьте мои ips в hosts.allow, создайте ~/.ssh/config и определите какой ssh-ключ использовать для какого сервера и создавать псевдонимы говорят:
  • псевдоним ssyc = 'ssh shoaibi@yahoo.com -i yahoo-com.identity.rsa'

[/РЕДАКТИРОВАТЬ]

[РЕДАКТИРОВАТЬ]

• Используйте logwatch для отправки вам важных журналов по электронной почте...

[/РЕДАКТИРОВАТЬ]

И, как упоминалось ранее, в случае атак ботов, они по умолчанию используют 22, так что я думаю, что вы больше не являетесь целью.

Ссылки:

• https://help.ubuntu.com/community/PortKnocking
• https://help.ubuntu.com/community/InstallingSecurityTools
• http://www.ubuntugeek.com/securing-ssh.html
• http://www.google.com.pk/search?hl=en&q=iptables+OR+shorewall+limit+ssh+connections+per+sec
• http://www.linux.com/feature/34958
• http://www.howtoforge.com/ssh_key_based_logins_putty

Нет, все попытки будут зарегистрированы /var/log/auth.log независимо от порта, который sshd слушает дальше.

Попытки, вероятно, просто генерируются ботами, пытающимися получить легкий доступ. Если кто-то специально не нацеливается на вашу систему, он даже не будет смотреть на другой порт.

Безопасность по неизвестности.

Пока вы ничего не изменили, кроме номера порта, регистрация не будет затронута.

Никакая автоматическая атака не собирается пробовать другие порты, так как на 22 серверах есть много попыток.

Пока все, на что вы полагаетесь при переносе портов, - это уменьшение спама в журнале, то это нормально, но вы не должны полагаться на него для какой-либо реальной безопасности.

Я сделал то же самое, чтобы обеспечить такое же преимущество предотвращения записей в журнале.

Для дополнительной веселости (и если у вас есть время убить), используйте Port Knocking:

http://en.wikipedia.org/wiki/Port_knocking

Ваша регистрация не должна отличаться из-за изменения порта.

Вы также можете посмотреть на настройку denyhosts или fail2ban.

Как отмечают другие, изменение порта остановит раздражающий спам в журнале и лишний трафик, но не является мерой безопасности, так как неизвестность не равняется безопасности.

Хорошей идеей может быть проверка паролей в вашей системе с помощью взломщика паролей и / или установка новых паролей с использованием методологии, подобной методике, описанной здесь в документации Redhat: http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/en-US/Security_Guide/s1-wstation-pass.html

Вы можете ограничить атаку грубой силой с помощью iptables:

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m недавно --update --seconds 60 --hitcount 3 --rttl --name SSH --rsource -j LOG --log-prefix "ATTACK SSH ГРУБАЯ СИЛА "
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m недавно --update - секунд 60 --hitcount 3 --rttl - имя SSH --rsource -j DROP
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m состояние --state NEW -m недавно --set - имя SSH --rsource -j ПРИНЯТЬ

Взгляните сюда - 20 лучших советов по безопасности OpenSSH: http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

Если у вас должно быть подключение для входа в систему, вы также можете ограничить разрешенных пользователей для подключения, отредактировав /etc/pam.d/ssh и добавив строку:

auth required pam_listfile.so item=user sense=allow file=/etc/sshusers_allowed onerr=fail

Создайте файл /etc/sshusers_allowed и поместите всех разрешенных пользователей построчно.

Может быть, перезагрузка SSH, не уверен.