セキュリティレビュー：SSHログイン試行分類[閉じる]

Question

1～3までの短答型問題

あまり混乱しない分析のために、私はそれが必須last -iだと思いますlastb -i。

このpreauth記号はログイン試行の失敗を示します。
これ遊びに来てくれてありがとう。シンボルにはマネージャーのユーモアのセンスが少しあります。
失敗した試みはすべて記録されます。
おっしゃるとおり、「ゲート」はインターネットに開かれています。したがって、ポートバンピングを構成しない限り、世界中のすべてのホストが「ゲートに到達」します。

一般に、公開鍵が設定sshの唯一の認証方法である場合、スクリプトボットは攻撃することはほとんど不可能です。ただし、月に数千回以上試すこともできます。

そのような試みが心配な場合は、インストールして設定できます。失敗2禁止。

長い答えとマトリックスへようこそ

ロボットと低くぶら下がっている果物

経験が少ないほとんどの管理者は、ログファイルの表示を開始するとパニックになることがあります。私が質問をしたときにあなたが投稿したのと同じ質問をたくさん始めたことを知っています。これは、インターネット上で無限に見えるハッキングの数に対する一般的な反応です。

私の技術的な友人や同僚は、私が見ているのがターゲット攻撃ではなく、自動化されたスクリプトを確認するためのほとんどの簡単な結果であると確信していました。そしてそれは...

評判の悪いさまざまな場所で購入して販売できるユーザー名とパスワードのリストがあります。スクリプトボットを実行している個人は、これらのリストの1つ以上を購入し、それを使用して特定のサブネット内のすべてのコンピュータにアクセスしようとし、IPv4アドレス空間全体をクロールすることもできます。

これが、次のような約100の名前がシリーズで表示される理由です。フレッド、サリー、ジョージ...など...あなたはあなたの名前や同様のものを見ることもできます。電子メールなど、実行できる他のサービスにも当てはまります。ファイルを見ると、/var/log/mail.log同じタイプのユーザー名とパスワードの組み合わせをハックする試みが表示されます。

これらの攻撃はボットです。サーバーに合理的なセキュリティ対策が設定されていると、sshハッカーの試行によって破損する可能性が低くなります。

SSHキー

SSHキーペアには公開コンポーネントとプライベートコンポーネントがあります。プライベートコンポーネントは絶対に配布しないでください。パブリックコンポーネントは~/.ssh/authorized_keysターゲットサーバーのファイルに配置する必要があります。

公開鍵認証中は、秘密鍵またはその鍵のパスワードは接続を介して送信されません。認証されると、ssh合意された対称セッションキーを使用してセッションが暗号化されます。あなたの秘密鍵を盗む攻撃者はまだあなたのパスワードを見つけなければなりません。そして、攻撃者は秘密鍵が保存されているコンピュータを損傷することなくそのパスワードをスニッフィングすることはできません。

SSHキーは暗号化オブジェクトであるため、アルゴリズムの終了日および/または特定のアルゴリズムの寿命全体にわたって発見された脆弱性が適用されます。したがって、サーバーソフトウェアを頻繁に更新し、新しく発見された問題があるかどうかをユーザーキーを確認することが重要です。

この記事を書いた時点で、標準アルゴリズムはまだRSA 2048のようです。 AWS キースクリプトは、以下に基づいて RSA 2048 キーを生成します.AWS ドキュメント。しかし、鍵ははるかに短く、アルゴリズムは国家機関や潜在的に破損したオブジェクトから独立して開発されたと推定されているので、すべての鍵をCurve 25519に変更しました。

サーバーの監査と記録のアーカイブ

最初にSSH公開鍵認証を有効にし、パスワード認証も無効にしたことを示したので、リモート攻撃者が公開鍵認証を無効にしたと疑う理由はありません。 AWS アカウント自体が破損していない限り、これは本当です。ただし、AWS アカウントへのアクセスに使用された予期しない IP アドレスに関する通知を受け取ることもあります。

長いロギングが必要な場合は、ログファイルの保存時間を延長またはlogrotateインストールできます。審査。

構成の完全性レベル

小規模/個人サーバー向けの正気なSSHセキュリティ対策

公開鍵認証と公開鍵専用認証
rootユーザーへのSSHアクセスを無効にする
sudoroot権限が必要なユーザーにのみ有効になります。
少なくとも2048ビットのRSAキーまたは曲線25519キーを使用してください。
秘密鍵素材をサーバーに置かないでください
必須でない場合は、X11転送を無効にしてください。

ほとんどの新規インストールで変更する必要がある唯一の設定は、公開鍵認証の有効化とX11の無効化です。

/etc/ssh/shhd_config

...
PermitRootLogin no
...
PubkeyAuthentication yes
PasswordAuthentication no
X11Forwarding no
...

クレイジーSSHセキュリティ

上記に加えて、ポートノッキングを有効にし、ホストキーを単一のアルゴリズム（曲線25519など）に制限し、サーバーのホストキーフィンガープリントをドメインのDNSレコードに配置してから、DNSSECを使用してそのレコードを保護できます。

サーバーのホストキーを制限するには、使用するアルゴリズムのコメントを解除してサーバーを再起動しますsshd。この操作が完了して再接続しようとすると、ホストキーが一致しません。ローカルに保存されているホストキーの指紋を交換しようとするときは、接続の指示に従ってください。

/etc/ssh/sshd_config

...
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
...

sshfp選択したホストキーのDNSレコードを生成するには：

ssh-keygen -r domain.tld -f /etc/ssh/ssh_host_ed25519_key

結果レコードはドメインのDNSゾーンファイルに保存でき、ssh接続でそのフィンガープリントを確認します。これにより、初めて接続したときやサーバーのホストキーが変更されたときにSSHへの中間者攻撃を防ぐことができます。

インストールする打った

そして文書に従って構成しなさい。

knockd is a port-knock server.  It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-
hits.  A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server.  This port need not be open -- since knockd
listens  at the link-layer level, it sees all traffic even if it's destined for a closed port.  When the server detects a specific sequence
of port-hits, it runs a command defined in its configuration file.  This can be used to open up holes in a firewall for quick access.

....

[options]
     logfile = /var/log/knockd.log

[openSSH]
     sequence    = 7000,8000,9000
     seq_timeout = 10
     tcpflags    = syn
     command     = /usr/sbin/iptables -A INPUT -s %IP% --dport 22 -j ACCEPT

[closeSSH]
     sequence    = 9000,8000,7000
     seq_timeout = 10
     tcpflags    = syn
     command     = /usr/sbin/iptables -D INPUT -s %IP% --dport 22 -j ACCEPT

DNSSECの構成ここでは詳細については説明しません。ただし、DNS なりすましは、DNSSEC が解決する実際の問題であることを覚えておくことが重要です。

Answer 1

1～3までの短答型問題

あまり混乱しない分析のために、私はそれが必須last -iだと思いますlastb -i。

このpreauth記号はログイン試行の失敗を示します。
これ遊びに来てくれてありがとう。シンボルにはマネージャーのユーモアのセンスが少しあります。
失敗した試みはすべて記録されます。
おっしゃるとおり、「ゲート」はインターネットに開かれています。したがって、ポートバンピングを構成しない限り、世界中のすべてのホストが「ゲートに到達」します。

一般に、公開鍵が設定sshの唯一の認証方法である場合、スクリプトボットは攻撃することはほとんど不可能です。ただし、月に数千回以上試すこともできます。

そのような試みが心配な場合は、インストールして設定できます。失敗2禁止。

長い答えとマトリックスへようこそ

ロボットと低くぶら下がっている果物

経験が少ないほとんどの管理者は、ログファイルの表示を開始するとパニックになることがあります。私が質問をしたときにあなたが投稿したのと同じ質問をたくさん始めたことを知っています。これは、インターネット上で無限に見えるハッキングの数に対する一般的な反応です。

私の技術的な友人や同僚は、私が見ているのがターゲット攻撃ではなく、自動化されたスクリプトを確認するためのほとんどの簡単な結果であると確信していました。そしてそれは...

評判の悪いさまざまな場所で購入して販売できるユーザー名とパスワードのリストがあります。スクリプトボットを実行している個人は、これらのリストの1つ以上を購入し、それを使用して特定のサブネット内のすべてのコンピュータにアクセスしようとし、IPv4アドレス空間全体をクロールすることもできます。

これが、次のような約100の名前がシリーズで表示される理由です。フレッド、サリー、ジョージ...など...あなたはあなたの名前や同様のものを見ることもできます。電子メールなど、実行できる他のサービスにも当てはまります。ファイルを見ると、/var/log/mail.log同じタイプのユーザー名とパスワードの組み合わせをハックする試みが表示されます。

これらの攻撃はボットです。サーバーに合理的なセキュリティ対策が設定されていると、sshハッカーの試行によって破損する可能性が低くなります。

SSHキー

SSHキーペアには公開コンポーネントとプライベートコンポーネントがあります。プライベートコンポーネントは絶対に配布しないでください。パブリックコンポーネントは~/.ssh/authorized_keysターゲットサーバーのファイルに配置する必要があります。

公開鍵認証中は、秘密鍵またはその鍵のパスワードは接続を介して送信されません。認証されると、ssh合意された対称セッションキーを使用してセッションが暗号化されます。あなたの秘密鍵を盗む攻撃者はまだあなたのパスワードを見つけなければなりません。そして、攻撃者は秘密鍵が保存されているコンピュータを損傷することなくそのパスワードをスニッフィングすることはできません。

SSHキーは暗号化オブジェクトであるため、アルゴリズムの終了日および/または特定のアルゴリズムの寿命全体にわたって発見された脆弱性が適用されます。したがって、サーバーソフトウェアを頻繁に更新し、新しく発見された問題があるかどうかをユーザーキーを確認することが重要です。

この記事を書いた時点で、標準アルゴリズムはまだRSA 2048のようです。 AWS キースクリプトは、以下に基づいて RSA 2048 キーを生成します.AWS ドキュメント。しかし、鍵ははるかに短く、アルゴリズムは国家機関や潜在的に破損したオブジェクトから独立して開発されたと推定されているので、すべての鍵をCurve 25519に変更しました。

サーバーの監査と記録のアーカイブ

最初にSSH公開鍵認証を有効にし、パスワード認証も無効にしたことを示したので、リモート攻撃者が公開鍵認証を無効にしたと疑う理由はありません。 AWS アカウント自体が破損していない限り、これは本当です。ただし、AWS アカウントへのアクセスに使用された予期しない IP アドレスに関する通知を受け取ることもあります。

長いロギングが必要な場合は、ログファイルの保存時間を延長またはlogrotateインストールできます。審査。

構成の完全性レベル

小規模/個人サーバー向けの正気なSSHセキュリティ対策

公開鍵認証と公開鍵専用認証
rootユーザーへのSSHアクセスを無効にする
sudoroot権限が必要なユーザーにのみ有効になります。
少なくとも2048ビットのRSAキーまたは曲線25519キーを使用してください。
秘密鍵素材をサーバーに置かないでください
必須でない場合は、X11転送を無効にしてください。

ほとんどの新規インストールで変更する必要がある唯一の設定は、公開鍵認証の有効化とX11の無効化です。

/etc/ssh/shhd_config

...
PermitRootLogin no
...
PubkeyAuthentication yes
PasswordAuthentication no
X11Forwarding no
...

クレイジーSSHセキュリティ

上記に加えて、ポートノッキングを有効にし、ホストキーを単一のアルゴリズム（曲線25519など）に制限し、サーバーのホストキーフィンガープリントをドメインのDNSレコードに配置してから、DNSSECを使用してそのレコードを保護できます。

サーバーのホストキーを制限するには、使用するアルゴリズムのコメントを解除してサーバーを再起動しますsshd。この操作が完了して再接続しようとすると、ホストキーが一致しません。ローカルに保存されているホストキーの指紋を交換しようとするときは、接続の指示に従ってください。

/etc/ssh/sshd_config

...
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
...

sshfp選択したホストキーのDNSレコードを生成するには：

ssh-keygen -r domain.tld -f /etc/ssh/ssh_host_ed25519_key

結果レコードはドメインのDNSゾーンファイルに保存でき、ssh接続でそのフィンガープリントを確認します。これにより、初めて接続したときやサーバーのホストキーが変更されたときにSSHへの中間者攻撃を防ぐことができます。

インストールする打った

そして文書に従って構成しなさい。

knockd is a port-knock server.  It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-
hits.  A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server.  This port need not be open -- since knockd
listens  at the link-layer level, it sees all traffic even if it's destined for a closed port.  When the server detects a specific sequence
of port-hits, it runs a command defined in its configuration file.  This can be used to open up holes in a firewall for quick access.

....

[options]
     logfile = /var/log/knockd.log

[openSSH]
     sequence    = 7000,8000,9000
     seq_timeout = 10
     tcpflags    = syn
     command     = /usr/sbin/iptables -A INPUT -s %IP% --dport 22 -j ACCEPT

[closeSSH]
     sequence    = 9000,8000,7000
     seq_timeout = 10
     tcpflags    = syn
     command     = /usr/sbin/iptables -D INPUT -s %IP% --dport 22 -j ACCEPT

DNSSECの構成ここでは詳細については説明しません。ただし、DNS なりすましは、DNSSEC が解決する実際の問題であることを覚えておくことが重要です。

セキュリティレビュー：SSHログイン試行分類[閉じる]

ベストアンサー1

1～3までの短答型問題

長い答えとマトリックスへようこそ

ロボットと低くぶら下がっている果物

SSHキー

サーバーの監査と記録のアーカイブ

構成の完全性レベル

おすすめ記事