Fail2ban и ССХ брутфорс атаки

G

garnet

Well-Known Member
Вчера гледам ИП от Китай се отпитва да влезе в Линукс машинката ми пре ссх. Оказа се, че не е от вчера и не е само от Китай ами си има навалица за моя сървър - всеки иска да се логва през ссх.
Тъй като ми трябва ссх, инсталирах fail2ban. Това нещо сканира лог-а на логванията и при повече от Н неуспешни опита от ИП добавя правило в iptables с бан по ИП.
Въпроса ми тук е: Аз iptables не съм инсталирал/настройвал - програмата идва ли си с линукса (распбиан)? Виждам в лога на фейл2бан, че вече има баннати ИП-та, но найстина ли са баннати?
Къде мога да видя дали иптейбълс работи и какви са правилата й?

ПС. Има ли по-добър начин за предпазване от ссх брутфорс?
 
От: Fail2ban и ССХ брутфорс атаки

iptables / netfilter е част от kernel-а на Linux. Едва ли е премахнат в raspbian-а. Пусни под конзола "iptables -L" и трябва да видиш доста сериозен output. Смени си порта на SSH в sshd_config , забрани логването с парола, а само с ключ. Изключи правата на root потребителя да се логва през ssh, направи си отделен потребител само за логин и след като си логнат използвай командата "su" за да преминеш към root.
 
От: Fail2ban и ССХ брутфорс атаки

s1yf0x каза:
iptables / netfilter е част от kernel-а на Linux. Едва ли е премахнат в raspbian-а. Пусни под конзола "iptables -L" и трябва да видиш доста сериозен output. Смени си порта на SSH в sshd_config , забрани логването с парола, а само с ключ. Изключи правата на root потребителя да се логва през ssh, направи си отделен потребител само за логин и след като си логнат използвай командата "su" за да преминеш към root.
Увеличете...
Аз не се логвам с руут. Логването с ключ е малко краен вариант, но ми харесва. Проблема, е че трябва да си нося ключа с мен и да го инсталирам навсякъде където искам да ползвам напр. пути. И по-лошо: пути за симбиан едва ли поддържа ключове, трябва да проверя.
С какво смяната на порта ще помогне - няма ли просто да ги забави. Ако напр сменя порт пренасочването на рутера напр. порт 34567 да насочва към 22 на луникса, за тях не е ли лесно да сканират всички портове на публичното ИП и да намерят 34567?
 
От: Fail2ban и ССХ брутфорс атаки

в 99% от случаите сканират на сляпо по default-ните портове. Т.е за SSH/SFTP използват 22
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе