Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > Администрирование *NIX систем > Как защитить SSH от брутфорса ? debian


Автор: Wowa 16.2.2011, 13:11
Как защитить SSH от брутфорса ? Интересует Debian. 

Автор: nickless 18.2.2011, 00:41
fail2ban?

Автор: Фантом 18.2.2011, 01:09
Ну, например, denyhosts. Хотя можно просто нормальные пароли использовать.  smile 

Автор: ToshaCh 18.2.2011, 12:09
Цитата(Wowa @  16.2.2011,  13:11 Найти цитируемый пост)
Как защитить SSH от брутфорса ?
  •  Поставить пароль сиволов в 10-15 с "именем домашней собачки" (что-нить типа "Dk$50agj459jkr!AFiqq#%"). Подобрать простым перебором почти нереально. Самому при этом ходить по сертификату, который запаролен чем небудь более простым. Регулярно сертификат менять.
  •  На уровне ssh запретить логин под рутом и сменить порт на неочевидный (большинство автоматических атак идёт именно по этим параметрам). 
  •  На уровне файрвола ограничить количество сессий в секунду от одного ip по этому порту. (гуглить по теме iptables DOS)

Автор: mihanik 18.2.2011, 14:50
Использую denyhosts. Пока этого хватает.

Автор: bilbobagginz 18.2.2011, 19:52
Цитата(Wowa @  16.2.2011,  12:11 Найти цитируемый пост)
Как защитить SSH от брутфорса ? Интересует Debian.  

если ну очень охота заморочиться - юзай port knocking.
принцип - стучимся до открытия порта:
т.е. до подключения ты отстукиваешь специальной прогрой какой-то такой "пароль" (при помощи отсыла сообщений TCP SYNֿ) напр. на порты:
30,50,80,130
только после этого открывается порт напр. 2222, на 1-2 секунды в которые ты подключаешься по ssh.
т.е. постоянно открытого порта нет вообще.

Автор: 500mhz 18.2.2011, 19:54
Элементарно Ватсон )

PermitEmptyPasswords нет
PermitRootLogin нет
LoginGraceTime - 10    таймаут на попытку соединения
MaxAuthTries - 1    попытки
MaxStartups - 1   < важный параметр, колво одновременно залогиневшихся юсеров

Автор: gcc 26.2.2011, 17:43
на FreeBSD есть опция для ядра в sysctl, которая не дает сканерам просканировать порты, назівается, вродебы "Черная дырка"

Nmap - показывает все время, что разные левые порты открыты, которые на самом деле закрыты

можно просто порт поменять

Автор: Wowa 6.3.2011, 22:38
а чем вам решение от 500mhz не понравилось?

Автор: gcc 7.3.2011, 14:08
тут вариантов, наверное, штук 100   smile  

Автор: phpsc 13.3.2011, 06:41
iptables'ом разрешить доступ к ssh только с определенного ip (с вашего) или с диапазона.

Автор: goga075 14.3.2011, 22:03
http://www.xakep.ru/post/35288/default.asp
Думаю это самые действенные и простейшие вариации!!

Автор: mihanik 14.3.2011, 23:47
Тогда уж и  http://www.thoughtcrime.org/software/knockknock/

 smile

Добавлено через 7 минут и 52 секунды
http://www.suroviy.ru/index.php?option=com_content&view=article&id=50:20------openssh&catid=1:main-category&Itemid=2

Автор: 1gor88 3.5.2011, 11:59
Можно решить брутально, к примеру поменять 22 порт на какой нибудь 225 по умолчанию, а 22 закрыть напрочь

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)