SSHでログイン遅延を提供する方法
Sshを介してログインしている間、ログインの遅延を提供したいと思いました。同じことを行う方法をいくつか試しましたが、望ましい結果が見つかりませんでした。
私は与えられたリンクによって提供されるステップを試みました。
http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables
iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
自分のマシンにPAMモジュールがインストールされていないため、PAMファイルに関連する変更を行うことができません
だから、私に同じことをする他の方法を提案させてくれる体はありますか?
組み込みプラットフォームで実行されている裸のLinuxカーネルがあります。
方法#1-パスワードログインを無効にする
パスワードログインを許可する必要がない場合は、単にそれらを許可しないことで、望ましい効果が得られます。この行を/etc/ssh/sshd_configに追加するだけです。
PasswordAuthentication no
さらに、sshd_configのMatch演算子を使用して、パスワードの使用を特定のユーザーに制限できます。
Match User root,foo,bar
PasswordAuthentication no
Match User user1,user2
PasswordAuthentication yes
方法#2-iptables
また、iptablesを使用して、失敗したログイン試行を追跡し、特定のしきい値を超えた場合にそれらをドロップすることもできます。これは、hostingfuの例に似ていますが、理解しやすくなっています。
$ Sudo iptables -I INPUT -p tcp --dport <YOUR PORT HERE> -i eth0 -m state --state NEW -m recent --set
$ Sudo iptables -I INPUT -p tcp --dport <YOUR PORT HERE> -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
注:最初の行は基本的に、sshポートでの新しい接続試行に使用されるパケットにのみ適用されるルールを作成します。 2行目は、60秒以内にIPからの試行が4回を超えると、そのIPからのトラフィックはすべてブラックホール化されることを示しています。このソリューションでは、さまざまなユーザーアカウントでの試行の有無は関係ありません。
方法#3-PAMを使用する
PAMが利用できないとおっしゃっていましたが、利用できた場合、これがログインの失敗を遅らせる方法です。 sshログインの失敗を単に遅らせることを意図している場合は、PAMモジュールpam_faildelayを使用できます。このPAMモジュールは通常、デフォルトの組み合わせに含まれています。
私のFedora 19システムでは、これはデフォルトのインストールの一部です。
例
pam_faildelayに関連するファイルを探します。
$ locate pam|grep -i delay
/usr/lib/security/pam_faildelay.so
/usr/lib64/security/pam_faildelay.so
/usr/share/doc/pam-1.1.6/html/sag-pam_faildelay.html
/usr/share/doc/pam-1.1.6/txts/README.pam_faildelay
/usr/share/man/man8/pam_faildelay.8.gz
それらが提供するRPMを確認します。
$ rpm -qf /usr/share/man/man8/pam_faildelay.8.gz
pam-1.1.6-12.fc19.x86_64
pam-1.1.6-12.fc19.i686
使用法
失敗時に遅延を作成するには、sshd pam構成ファイルに次のような行を追加するだけです。再びFedora/CentOS/RHELシステムでは、このファイルは/etc/pam.d/sshdにあります。
10秒の遅延を作成するには:
auth optional pam_faildelay.so delay=10000000
60秒の遅延:
auth optional pam_faildelay.so delay=60000000
例
上記の方法を使用して20秒の遅延で、PAM sshd構成ファイルを次のように変更しました。
#%PAM-1.0
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
auth optional pam_faildelay.so delay=20000000
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
ログインすると:
$ date
Tue Dec 17 09:16:30 EST 2013
$ ssh blah@localhost
blah@localhost's password:
Permission denied, please try again.
blah@localhost's password:
...Control + C....
$ date
Tue Dec 17 09:16:50 EST 2013
参考文献
パスワードを無効にします。パスワードなし、ブルートフォース攻撃なし。
ログインにはssh-keysを使用できます。これは、より安全でハッキングがより困難になるはずです。
Ubuntu 16.04のクリーンインストールopenssh-server、ゼロ文字を超える間違ったパスワードを入力しようとすると、すでに遅延が発生しています。遅延は1秒以上のようです。
ゼロ文字の間違ったパスワード試行の場合、遅延はないため、攻撃者はパスワードが実際に空の文字列でない場合、空の文字列ではないとすぐに判断します。空の文字列はおそらくパスワードとして許可されていないので、彼らはすでに知っているので、空の文字列を試そうとはしません。