私たちは、本番サーバーの1つでSSHをオンにして、さまざまな無差別代入攻撃に対して脆弱にしました。デフォルトポートを22に変更して試行回数を減らしました。
.in特定の国のSSHログインのみを許可してセキュリティをさらに強化したいと思います。これを行うには、または/etc/hosts.denyを設定できます/etc/hosts.allow。
の場合、hosts.allow次の項目を追加しました。
sshd: in
使用すると、hosts.deny私のアイテムは次のようになります
sshd: !in
上記の項目のいずれかを設定した後、サーバーへの接続に時間がかかることがわかりましたssh。
詳細は、ログインを試みる前にしばらくここに表示されます。
ssh -vv 103.8.X.X
OpenSSH_5.9p1 Debian-5ubuntu1.4, OpenSSL 1.0.1 14 Mar 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 103.8.X.X [103.8.X.X] port 565.
debug1: Connection established.
debug1: identity file /home/amin/.ssh/id_rsa type -1
debug1: identity file /home/amin/.ssh/id_rsa-cert type -1
debug1: identity file /home/amin/.ssh/id_dsa type -1
debug1: identity file /home/amin/.ssh/id_dsa-cert type -1
debug1: identity file /home/amin/.ssh/id_ecdsa type -1
debug1: identity file /home/amin/.ssh/id_ecdsa-cert type -1 (<-- hangs here for arnd 30 secs)
tcpラッパーのルールを設定した後、パテを使用すると時間がかかります。
ベストアンサー1
hosts.allowまたは、にホスト名を入れるとは、hosts.denyサーバーがIPアドレスのドメイン名を取得するためにリバースDNS解決を実行する必要があることを意味します。名前解決システムが遅い場合や、一部の中間ネームサーバーの応答速度が遅い場合は、ログイン時間に影響します。次のように、サブネットのIPアドレスをファイルに保存する方が高速ですman hosts.allow。
The examples use host and domain names. They can be improved by includ‐
ing address and/or network/netmask information, to reduce the impact of
temporary name server lookup failures.
無差別ログイン攻撃を防ぐもう一つの方法は失敗2禁止。プログラムは失敗したログイン試行を追跡し、あまりにも多くの試行の後に IP アドレスを一時的にブロックします。これにより、国によってはログインをブロックする必要がなくなります。 1時間あたりのログイン試行失敗回数を3~4回だけ許可することで、大規模なボットネットに対しても無差別代入攻撃が不可能です。