înregistrare Logare
Puncte:0
avatar Ubuntu

Cum să preveniți încercările neautorizate de conectare ssh

drapel us
jedo-tm

Am descoperit o mulțime de încercări de conectare neautorizate în /var/log/auth.log

...
26 septembrie 22:15:34 hostname sshd[3072475]: parolă eșuată pentru utilizatorul utilizator nevalid de la portul x.y.z.w 51056 ssh2
26 septembrie 22:15:39 nume gazdă sshd[3072519]: parolă eșuată pentru utilizatorul utilizator nevalid de la portul x.y.z.w 62354 ssh2
26 septembrie 22:16:51 hostname sshd[3072643]: parolă eșuată pentru utilizatorul utilizator nevalid de la portul x.y.z.w 10596 ssh2
...

Sunt nedumerit de ce se întâmplă acest lucru, deoarece am configurat portforwarding pe routerul meu de internet (zyxel VMG3925-B10B), astfel încât de ex. portul 54321 este mapat la portul 22 pe adresa IP internă a casetei mele ubuntu.

Dacă încerc să mă conectez prin ssh din afara acasă - deci folosind un IP extern la orice altceva decât portul 54321, voi fi respins. Deci, de ce este posibil ca cineva să treacă prin firewall-ul meu router la ip-ul intern al casetei mele ubuntu.

Îmi dau seama că această întrebare poate fi mai mult o întrebare pentru producătorul routerului meu. Cu toate acestea, cunoștințele mele de securitate informatică sunt oarecum limitate și aș dori să aud strategiile altor oameni

142
0 + 0
waltinator avatar
drapel it
waltinator
Când eram în securitatea computerelor, îmi făceam ÎNTOTDEAUNA scanările de recunoaștere `nmap` pe porturile 1-65535 (toate). Simpla utilizare a portului 54321 nu ascunde nimic. Există un pachet numit `fail2ban` care ar putea ajuta
3
Răspunde
Puncte:2
Doug Smythies avatar Ubuntu
drapel gn
Doug Smythies

Cercetând, cei răi au aflat că portul tău extern 54321 este portul tău de acces ssh. Porturile listate în jurnalul dvs. sunt porturile lor sursă, nu porturile de destinație. Ar trebui să descoperiți că încercările de conectare ssh pe portul 54321 apar la o rată mult mai mică decât dacă ar fi portul 22.

Puteți atenua problema prin regulile iptables sau fail2ban (oricum ar fi ortografiat) sau altele. Folosesc modulul recent din itpables:

# Lista dinamică de răi. Detectați și DROP IP-uri proaste care fac atacuri cu parole pe SSH.
# Odată ce sunt pe lista BADGUY, atunci DROP toate pachetele din ei.
#$IPTABLES -A INTRARE -i $EXTIF -m recent --update --hitcount 3 --seconds 5400 --name BADGUY_SSH -j LOG --log-prefix „SSH BAD:” --log-level info
#$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 5400 --name BADGUY_SSH -j DROP
# Uneori, timpul de blocare este foarte lung. De obicei, pentru a încerca să scapi de atacurile coordonate din China.
$IPTABLES -A INPUT -i $EXTIF -m recent --mask $BIT_MASK --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m recent --mask $BIT_MASK --update --hitcount 3 --secunde 90000 --nume BADGUY_SSH -j DROP
$IPTABLES -A INTRARE -i $EXTIF -p tcp -m tcp --dport 22 -m recent --mask $BIT_MASK --set --name BADGUY_SSH -j ACCEPT

Acum folosesc un BIT_MASK (în prezent „255.255.252.0”), deoarece atacatorii au devenit inteligenți și adesea trec doar la o altă adresă IP pe aceeași subrețea. $EXTIF este WAN-ul meu cu care se confruntă NIC.

0 + 0
drapel us
jedo-tm
Bună @Doug Mulțumesc pentru răspunsuri. Am început prin a instala fail2ban, ceea ce pare a fi un început bun. Până acum m-am bazat pe ufw cu câteva reguli pentru deschiderea unor porturi. Îmi place ideea pe care ai postat-o, în care iptables sunt folosite cu bitmask. Am încercat să caut cum să configurez iptables. Se părea că regulile iptables sunt șterse la repornire, dacă nu faci ceva de genul ``` apt-get install iptables-persistent ``` dar pot să întreb cum configurați și păstrați regulile iptables? Nu mi-aș fi putut aminti asta. Unde stocați fișierele care conțin de ex. $BIT_MASK și reguli
0
Răspunde
Doug Smythies avatar
drapel gn
Doug Smythies
Folosesc un script pentru a încărca regulile mele iptables după pornire. Este apelat de la un serviciu post-boot. Folosind un script, pot de asemenea să mă ocup de unele lucruri direct legate care nu sunt de fapt iptables. Nu sunt un fan al `iptables-persistent`.
0
Răspunde
drapel us
jedo-tm
Multumesc @dough :)
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.