grieve Asked: 2009-05-05 09:46:04 +0800 CST2009-05-05 09:46:04 +0800 CST 2009-05-05 09:46:04 +0800 CST 防止对 ssh 的暴力攻击? 772 您使用什么工具或技术来防止对您的 ssh 端口进行暴力攻击。我在我的安全日志中注意到,我有数百万次尝试通过 ssh 以各种用户身份登录。 这是在 FreeBSD 机器上,但我想它可以在任何地方使用。 security ssh brute-force-attacks 14 个回答 Voted Brent 2009-05-05T09:53:17+08:002009-05-05T09:53:17+08:00 我使用fail2ban,它会在多次尝试失败后锁定IP,并持续一段可配置的时间。 将此与密码强度测试(使用john (John the Ripper))相结合,以确保暴力攻击不会成功。 Best Answer paulgreg 2009-05-06T08:53:31+08:002009-05-06T08:53:31+08:00 这是Rainer Wichmann关于该主题的一篇好文章。 它解释了这些方法的优缺点: 强密码 RSA 认证 使用 'iptables' 阻止攻击 使用 sshd 日志阻止攻击 使用 tcp_wrappers 阻止攻击 敲门 hernan43 2009-05-05T10:06:57+08:002009-05-05T10:06:57+08:00 你可以做的小事是使用 DenyHosts 之类的东西: http://denyhosts.sourceforge.net/ 它使用内置的 hosts.allow/hosts.deny 来阻止 SSH 滥用者。 Chris Ballance 2009-05-05T09:53:45+08:002009-05-05T09:53:45+08:00 更改使用的端口(如Trent所述) 需要加密密钥而不是密码。http://novosial.org/openssh/publickey-auth/ 黑名单攻击者ip 将已知用户列入白名单以防止意外列入黑名单。(正如萨米埃拉所说) trent 2009-05-05T09:48:12+08:002009-05-05T09:48:12+08:00 避免这些攻击的最简单方法之一是更改 sshd 侦听的端口 samt 2009-05-05T23:37:56+08:002009-05-05T23:37:56+08:00 正如克里斯指出的那样,使用加密密钥而不是密码。 补充一点: 尽可能使用白名单。 您真正需要多少人或位置(具有浮动公共 IP)访问您的公共 ssh 连接? 根据您维护的公共 ssh 主机的数量以及您是否可以缩小您的一般连接标准,那么它可能是一种更简单、可维护的配置来限制对少数外部主机的访问。 如果这对您有用,它可以真正简化您的管理开销。 sherbang 2009-05-24T09:36:07+08:002009-05-24T09:36:07+08:00 除了其他好的建议之外,一个非常容易做的事情是限制传入连接的速率。每个 IP 限制为每分钟 3 个连接: iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP David Gardner 2009-05-22T01:04:20+08:002009-05-22T01:04:20+08:00 使用 sshd_config 中的“AllowUsers”选项来确保只有一小部分用户可以登录。所有其他人都会被拒绝,即使他们的用户名和密码是正确的。 您甚至可以限制用户从特定主机登录。 例如, AllowUsers user1 [email protected] 这将减少搜索空间并避免那些不小心被闲置或启用的老用户(尽管这些当然应该被禁用,这是一种阻止他们被用于基于 SSH 的条目的简单方法)。 这并不能完全阻止暴力攻击,但有助于降低风险。 CycyX 2009-05-28T11:20:38+08:002009-05-28T11:20:38+08:00 对 PF 使用类似的东西: 表 <ssh-brute> 在快速日志中保留块从标签 ssh_brute 传入 $ext_if proto tcp 到 ($ext_if) 端口 ssh 调制状态 \ (max-src-conn-rate 3/10, 过载刷新全局) Luke 2009-05-05T09:52:00+08:002009-05-05T09:52:00+08:00 敲门是一种非常可靠的方法来防止这种事情发生。有点繁琐,有时很烦人,但它肯定会让问题消失。
我使用fail2ban,它会在多次尝试失败后锁定IP,并持续一段可配置的时间。
将此与密码强度测试(使用john (John the Ripper))相结合,以确保暴力攻击不会成功。
这是Rainer Wichmann关于该主题的一篇好文章。
它解释了这些方法的优缺点:
你可以做的小事是使用 DenyHosts 之类的东西:
http://denyhosts.sourceforge.net/
它使用内置的 hosts.allow/hosts.deny 来阻止 SSH 滥用者。
避免这些攻击的最简单方法之一是更改 sshd 侦听的端口
正如克里斯指出的那样,使用加密密钥而不是密码。
补充一点:
您真正需要多少人或位置(具有浮动公共 IP)访问您的公共 ssh 连接?
根据您维护的公共 ssh 主机的数量以及您是否可以缩小您的一般连接标准,那么它可能是一种更简单、可维护的配置来限制对少数外部主机的访问。
如果这对您有用,它可以真正简化您的管理开销。
除了其他好的建议之外,一个非常容易做的事情是限制传入连接的速率。每个 IP 限制为每分钟 3 个连接:
使用 sshd_config 中的“AllowUsers”选项来确保只有一小部分用户可以登录。所有其他人都会被拒绝,即使他们的用户名和密码是正确的。
您甚至可以限制用户从特定主机登录。
例如,
这将减少搜索空间并避免那些不小心被闲置或启用的老用户(尽管这些当然应该被禁用,这是一种阻止他们被用于基于 SSH 的条目的简单方法)。
这并不能完全阻止暴力攻击,但有助于降低风险。
对 PF 使用类似的东西:
表 <ssh-brute>
在快速日志中保留块从标签 ssh_brute
传入 $ext_if proto tcp 到 ($ext_if) 端口 ssh 调制状态 \
(max-src-conn-rate 3/10, 过载刷新全局)
敲门是一种非常可靠的方法来防止这种事情发生。有点繁琐,有时很烦人,但它肯定会让问题消失。