Potansiyel saldırıya uğramış SSH oturumu ve SSH en iyi uygulamaları

14

Şu anda biraz korkuyorum. Son zamanlarda devreye aldığım uzak bir sunucuya SSHing. Bunu kök olarak yapıyorum. Fail2ban yükledim ve günlükte büyük miktarda yasaklanmış IP'ler vardı.

Son giriş yaptığımda terminalimin gerçekten laggy olduğunu fark ettim ve internet bağlantım kesildi. Ben yaklaşık 5 dakika sonra geri aldım ben sunucuya tekrar giriş yaptı ve bir 'kim' yaptı ve giriş iki kök kullanıcı olduğunu fark etti. Bağlantım son oturumdan sonlandırılırsa işlem olurdu olurdu düşünürdüm sunucuda durdunuz mu?

İlk bağlantım kesildiğinde bağlantı 'Yazma başarısız oldu: Kırık boru' ile sona erdi. Bash seansını diğer kökle öldürdüm. SSH güvenliği hakkında fazla bir şey bilmiyorum ancak oturumlar ele geçirilebilir mi? Bunu kontrol etmenin bir yolu var mı? Ssh ile giriş yapmaya devam etmeliyim ne gibi önlemler almalıyım? Bir şekilde sunucuma ulaşmak için bir proxy üzerinden geçiyor olsaydım (orta saldırıdaki bir adam gibi) ssh oturumumu ele geçirebilirler mi?

linux  ssh  security  unix  hacking 
MarMan29
kaynak

Yanıtlar:

40

Kök girişleri muhtemelen bir zamanlar siz olduğunuz kabuk oturumlarını sarkıyor. Sunucunuz da muhtemelen tüm girişleri çekiçle dDOS'lu oluyor.

SSH'yi kilitleyin. Kök girişine izin vermeyin ve bu makineyi zorlamaya çalışan istekleri hemen başarısız olur (çok daha az kaynak alır). Normal bir kullanıcı olarak giriş yapın ve yine de sudoyapmanız gereken bir uygulama aracılığıyla izinleri yükseltin . Ayrıca, SSH oturum açmasını istemci IP'leri listesiyle sınırlayın, böylece tatsız makineler giriş yapmaya bile çalışamaz.

Kullanıcı girişi için şifreler yerine SSH anahtarları kullanın. Başa çıkmaları daha kolaydır ve yanlışlıkla yanlış yere özel bir anahtar vermeniz durumunda parola korumalı olabilirler (bunları değiştirmek ve eskisini geçersiz kılmak için size zaman verir). @EEAA'nın yorumlarda belirtildiği gibi, istemcileri hem parola hem de anahtar yerine yalnızca anahtarları kullanmakla sınırlamak istiyorsanız parola tabanlı kimlik doğrulamasını da devre dışı bırakmanız gerekir.

Moğol klanları şehir duvarınızı vurmaya devam ederse, SSH'yi 22 yerine farklı bir yüksek bağlantı noktasına (1024'ün altında, @AustinBurke'nin işaret ettiği gibi - ayrıcalıklı bir bağlantı noktası kullanmak için) 22 yerine taşıyabilirsiniz. sizin için bir sorundur (ve çoğu bot çok zarif değildir, bu yüzden sadece 22'yi denerler). SSH'de hangi portun dinlediğini görmek için şeylerin port 22'yi denemesini veya makinenizi taramasını engellemez ve çoğu durumda gereksiz bir rahatsızlıktır. Ama yardımcı olabilir.

Diğerleri daha fazla ipucu verebilir, ancak bunlar halka açık bir SSH sunucusu için oldukça genel güvenlik önlemleri.

Biriktiricisi
kaynak
22
Anahtar kullanmak yeterli değildir. Bir zorunluluk devre dışı parola doğrulaması de.
EEAA
4
@marcelm "Günlükte büyük miktarda yasaklanmış IP'ler " bunun olabileceğini ima etmiyor mu?
TripeHound
4
@tripehound Hayır değil. Tüketilen göreceli kaynaklar hakkında hiçbir şey söylemez.
marcelm
3
Yine de bu etki için bir ipucu, @marcelm.
Monica ile hafiflik yarışları
4
Bu evrende bu mümkün olsa da, ssh oldukça güvenlidir. Elbette bu trafiği uçuş sırasında alabilir ve şifreli durumunda saklayabilirsiniz, ancak şifreli bir kanal oluşturmak için bir Diffie-Hellman anahtar değişimi kullanılır. Oturum sırasında akış anahtarı hiçbir zaman iletilmediğinden, kimlik doğrulama için kullanılan özel ve genel ssh anahtarınız varsa bunu kırmak bile mümkün değildir. Birisi bu akışı kırınca, hepimiz öleceğiz.
Biriktirici
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.