UbuntuサーバーSSH
私はubuntuを備えたサーバーを持っています。私はSSH経由でそれに取り組んでいます。ポート22でのブルートフォースの試行に問題がありました。ポートを変更したところ、ブルートフォースの問題が修正されたと思いました。私は正しいですか、それとも別のポートでの試行が/var/log/auth.logに記録されなくなっただけですか?
ここでブルートフォース攻撃を回避するために私が行うことは次のとおりです。
- Sshポートを変更する
- Denyhostsをインストールします
- Sshポートでの1秒あたりの接続数を制限する
- キーベースのrootsshのみを使用し、代わりに必要に応じてsashrootを使用するか、コンソールログインを使用します
- 場合によっては、ポートをノックしてsshポートを開く
[編集]
- cansshグループを作成し、これにsshを与えたい人を追加し、「AllowGroupscanssh」をsshd_configに追加します。そして、denyhostsのDENY_THRESHOLD_(IN)VALID */ROOTを1に設定します。ルートまたは(無効な)有効なユーザーとして1つの間違ったsshがあり、IPがブロックされている場合は、私のIPをhosts.allowに追加し、〜/ .ssh/configを作成して、どのサーバーに使用するsshキーを定義し、エイリアスを作成します。 .____。]
- エイリアスssyc = 'ssh [email protected] -i yahoo-com.identity.rsa'
[/編集]
[編集]
- Logwatchを使用して重要なログをメールで送信します...
[/編集]
また、前述のように、ボット攻撃の場合、デフォルトで22が試行されるため、ターゲットにされなくなったと思います。
リンク:
- https://help.ubuntu.com/community/PortKnocking
- https://help.ubuntu.com/community/InstallingSecurityTools
- http://www.ubuntugeek.com/securing-ssh.html
- http://www.google.com.pk/search?hl=en&q=iptables+OR+shorewall+limit+ssh+connections+per+sec
- http://www.linux.com/feature/34958
- http://www.howtoforge.com/ssh_key_based_logins_PuTTY
いいえ、sshdがリッスンしているポートに関係なく、すべての試行は/var/log/auth.logに記録されます。
試みはおそらく、簡単にアクセスしようとするボットによって生成されたものです。誰かがあなたのシステムを特にターゲットにしていない限り、彼らは別のポートを見ることさえしません。
隠すことによるセキュリティ。
ポート番号以外を変更しない限り、ロギングは影響を受けません。
22には試行するSSHサーバーがたくさんあるため、自動攻撃は他のポートを試行しません。
ポートの移行に依存しているのがログスパムを減らすことだけである限り、それは問題ありませんが、実際のセキュリティのためにポートの移行に依存するべきではありません。
私は同じことをして、ログエントリを防ぐという同じ利点を提供しました。
陽気さを増すために(そして殺す時間があれば)、ポートノッキングを実装します:
他の人が指摘しているように、ポートを変更すると、迷惑なログスパムや余分なトラフィックが停止しますが、あいまいさはセキュリティと同等ではないため、セキュリティ対策ではありません。
パスワードクラッカーを使用してシステムのパスワードを監査するか、Redhatのドキュメントで説明されているような方法を使用して新しいパスワードを設定することをお勧めします。 http://www.redhat.com/docs /manuals/enterprise/RHEL-4-Manual/en-US/Security_Guide/s1-wstation-pass.html
ポートが変更されても、ログは変わらないはずです。
Denyhostsまたはfail2banの設定も検討することをお勧めします。
ここを見てください-20のOpenSSHのベストセキュリティのヒント: http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
Iptablesを使用してブルートフォース攻撃をレート制限できます。
Sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m latest --update --seconds 60 --hitcount 3 --rttl --name SSH --rsource -j LOG --log-prefix "ATTACK SSH強引な "
Sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m latest --update --seconds 60 --hitcount 3 --rttl --name SSH --rsource -j DROP
Sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m latest --set --name SSH --rsource -j ACCEPT
ログイン接続が必要な場合は、/ etc/pam.d/sshを編集して次の行を追加することにより、接続を許可するユーザーを制限することもできます。
auth required pam_listfile.so item=user sense=allow file=/etc/sshusers_allowed onerr=fail
ファイル/ etc/sshusers_allowedを作成し、許可されたすべてのユーザーを1行ずつ配置します。
たぶん、sshの再起動です。