Kaba kuvvet ssh iptables ile engellenemiyor

9

SSD sunucumdaki kaba kuvvet saldırılarını engellemeye (yavaşlatmaya) çalışıyorum. Bu kılavuzu takip ediyorum http://www.rackaid.com/resources/how-to-block-ssh-brute-force-attacks/ temelde aşağıdaki 2 komutu girmem gerektiğini söylüyor.

sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP

Benim sshd port 6622, bu yüzden "22" yerine "6622" girişleri değiştirdim ve bu komutları koymak. Sonra sadece yeni iptables test etmeye çalıştı. Başka bir bilgisayara gittim ve birkaç kez yanlış giriş şifresi koydum. Ne yazık ki, yeni kurallar beni istediğim kadar denemekten alıkoymuyor gibi görünüyor. Aşağıda listelenen kurallar. Neyi yanlış yapıyorum?

# iptables --list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere             tcp dpt:6622 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source
           tcp  --  anywhere             anywhere             tcp dpt:6622 state NEW recent: SET name: DEFAULT side: source

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain LOGDROP (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             LOG level warning
DROP       all  --  anywhere             anywhere
ssh  iptables  sshd 
Sepero
kaynak
4
Ben kaba kuvvet denemeleri gösteren engelleme IP'leri işlemek için fail2ban öneririz . Kurulumu ve yapılandırması kolaydır. Sorunuza doğrudan cevap vermediğini biliyorum, ancak alçıpanda birkaç delik kurtarabilir.
Banjer
1
@Banjer ile aynı fikirde olun - rackaid bağlantısını unutun, fail2ban'ı kurun.
Shadur
MaxStartupsDaemon tarafında tweaking şansı olabilir mi?
peterph
2
@peterph Yalnızca kaba kuvvet kırma girişimini servis reddine dönüştürmek istiyorsanız.
Shadur
Neden bir ssh sunucusunu Internet'e maruz bırakıp sonuçları en aza indirmeye çalışalım? Ya işte ya da evde, ipsec VPN'leri ile giriyorum, internete hiç açık değilim.
Rui F Ribeiro

Yanıtlar:

5

@Banjer'in yorumunda belirttiği gibi, gerçek probleminiz için yanlış çözümü deniyorsunuz.

Yapmanız gereken şey fail2ban . Çeşitli kaynaklardan başarısız erişim girişimleri üreten ana bilgisayarların bağlantı denemelerini otomatik olarak engellemek için arka planda iptables kullanır. İnanılmaz derecede çok yönlüdür ve aramak için farklı eşik, desen ve yasak yöntemleri eklemenizi ve değiştirmenizi sağlar; kullandığınız standart dışı bağlantı noktasını hesaba katmak için varsayılan ssh hapishanesini hafifçe düzeltmeniz gerekir, ancak bu zor olmamalıdır.

shadur
kaynak
1

İşleri yavaşlatmak için böyle kurallar kullanıyorum:

iptables -A DDoS -m limit --limit 12/s --limit-burst 24 -j RETURN
iptables -A DDoS -j LOG --log-prefix "[DDos Attack?] "
iptables -A DDoS -j DROP

Başka yerlerde böyle şeyleri sınırlandırıyorum:

LOGLIMIT="50/h"
LOGLIMITBURST="10"
iptables -A IANA -p tcp -m limit --limit $LOGLIMIT --limit-burst \
     $LOGLIMITBURST -j DROP
slm
kaynak
0

Adam sayfasını okudun mu?

adam sshd_config:

 MaxAuthTries
         Specifies the maximum number of authentication attempts 
         permitted per connection.  Once the number of failures 
         reaches half this value, additional failures are logged. 
         The default is 6.
 MaxSessions
         Specifies the maximum number of open sessions permitted 
         per network connection.  The default is 10.
 MaxStartups
         Specifies the maximum number of concurrent unauthenticated
         connections to the SSH daemon.  Additional connections
         will be dropped until authentication succeeds or 
         the LoginGraceTime expires for a connection. The default is 10:30:100.

         Alternatively, random early drop can be enabled by specifying
         the three colon separated values “start:rate:full” (e.g.
         "10:30:60").  sshd(8) will refuse connection attempts with a
         probability of “rate/100” (30%) if there are currently “start”
         (10) unauthenticated connections.  The probability increases
         linearly and all connection attempts are refused if the 
         number of unauthenticated connections reaches “full” (60).
ömür boyu gelir
kaynak
3
Yardımcı olmuyor. SSH bruteforce saldırıları günümüzde dağıtılmış bot ağları tarafından kullanılma eğilimindedir, bu nedenle her bağlantı sadece üç veya dört deneme yapar, ancak farklı ana bilgisayarlardan yüzlerce bağlantınız olur.
Shadur
0

Sadece iki kural çözümünü denedim ve kontrol ederken de aynı sorunu yaşadım. Sonra, yayınlanan kuralların bir -i eth0seçeneği olduğunu belirtiyorum ! İyi bir ağ arayüzüne değiştirdim ve sonunda çalışmaya başladı.

user2083098
kaynak
0

Çoğu öğretici -Akural setinin sonuna eklemek için kullanır . OP -Ieklemek için kullanılır , ancak bir dizin olmadan, bu yüzden kurallar yanlış sırada sona erdi.

İptables kurallarının hatalarını ayıklamak için değerli bir araç iptables -vL, kuralların her bir kuralın kaç kez uygulandığına dair sayıları listeler. Beklenmedik bir 0 sayısı aldığınızda, neyin yanlış olduğunu görmenize yardımcı olabilir.

sade
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.