Was soll ich tun, wenn ein Haufen Maschinen versucht, SSH in meine zu integrieren?

382
einpoklum

In den letzten Stunden haben ein paar Maschinen aus China (na ja, angeblich) versucht, SSH als Root in meine Maschine zu integrieren, und versagten. Einige (alle?) Ihrer IPs sind:

218.65.30.53 221.194.47.221 115.238.245.2 115.238.245.4 221.194.47.239 

Ich habe ein webbasiertes whois verwendet, um sie zu überprüfen, und habe an die Adressen des Missbrauchsberichts geschrieben. Was soll ich tun? Auf meiner Maschine und im Allgemeinen?

0
Ich gehe davon aus, dass Sie SSH nicht einfach deaktivieren können? Ich gehe außerdem davon aus, dass Sie die entsprechenden Schritte ausgeführt haben, um den Zugriff dieser IP-Adressen auf Ihren Server zu verhindern. Wenn Sie die Schlüsselauthentifizierung nicht verwenden, ist es Zeit zu wechseln. Ramhound vor 6 Jahren 1
Führen Sie Ihren SSH-Server nicht mit einer Standard-Portnummer aus. Deaktivieren Sie die Benutzer- / Kennwort-Anmeldungen zugunsten der Verwendung eines privaten Schlüssels. Lassen Sie Ihren SSH-Server nicht über das Internet erreichbar. Mokubai vor 6 Jahren 1
@ Ramhound: SSH kann nicht deaktiviert werden - ich muss es verwenden. Aber ich denke darüber nach, das kennwortbasierte Login zu deaktivieren. einpoklum vor 6 Jahren 0
@Mokubai: Ich denke darüber nach, es in einen anderen Hafen zu verlegen. Es ist zwar ein Ärger :-( einpoklum vor 6 Jahren 0
Wenn Sie pubkey auth verwenden, ignorieren Sie sie einfach - der einzige Schaden, den sie möglicherweise anrichten können, ist die Erhöhung der Protokollgröße. Bob vor 6 Jahren 0
Betrachten Sie sofort den Einsatz von fail2ban, ändern Sie kurzfristig Ihren Port und wechseln Sie längerfristig auf Schlüssel. Frank Thomas vor 6 Jahren 2
@FrankThomas: Könnten Sie diesen Kommentar zu einer Antwort ausdehnen? einpoklum vor 6 Jahren 0

1 Antwort auf die Frage

3
davidgo

Es gibt ein paar Dinge, die Sie tun können (und sollten sollten).

  1. Implementieren Sie ein VPN und erlauben Sie nur den Zugriff über das VPN. Dadurch wird die Angriffsfläche stark verringert.

  2. Verwenden Sie Fail2Ban oder ein gleichwertiges Verfahren, um Brute-Force-Angriffe zu verhindern.

  3. Anmeldungen erfordern die Authentifizierung mit öffentlichen / privaten Schlüsseln.

  4. Hinzufügen einer Liste zulässiger Benutzer durch Hinzufügen einer AllowUsers-Direktive zu / etc / ssh / sshd_config mit einer Liste zulässiger Benutzer (und zugehöriger IP-Adressen)

  5. Deaktivieren Sie die Root-Anmeldungen (oder beschränken Sie sich, falls erforderlich, auf bestimmte statische IP-Adressen, wie in Abschnitt 4 oben beschrieben).

Was meinen Sie mit "VPN implementieren"? Außerdem ist das Root-Login standardmäßig IIANM deaktiviert. Könnten Sie auch erklären, was Fail2Ban ist? einpoklum vor 6 Jahren 0
Wenn Sie OpenVPN auf dem Server (oder dem zugehörigen Router) ausführen und dann eine Remote-Verbindung zum VPN herstellen, können Sie darüber SSH verwenden. Sie können eine IP-Adresse zuweisen und SSH darauf begrenzen. Fail2Ban ist eine Software, die Protokolle überwacht und den Zugriff von einer zugeordneten IP für eine bestimmte Zeit für eine zugehörige IP blockieren kann. Dies kann zu einer Depression führen davidgo vor 6 Jahren 0