Sto avendo molte richieste di autenticazione ssh non riuscite negli ultimi due giorni, da vari fornitori di servizi. Sembra che qualcuno sia intenzionato a entrare nel mio computer.
Sto usando Ubuntu su un laptop Dell, ho bisogno di avere sshd in esecuzione a scopo di lavoro, quindi chiuderlo non è un'opzione.
Ho bloccato tutti gli IP fuori per il momento, e ho paralizzato l'attacco. Qual è la migliore risposta a tale situazione?
È molto comune tra i server pubblici o un host. Presumo che il tuo host sia un server che sta usando Public IP i.e può essere accessibile da qualsiasi luogo. Ecco alcune precauzioni:
Cambia porta predefinita: l'idea ideale per questo tipo di situazione è spostare la porta predefinita (22) nella porta superiore. Puoi farlo cambiando il file di configurazione che si trova in "/ etc / ssh / sshd_config" come segue,
$ vi /etc/ssh/ssh
E apporta le seguenti modifiche,
# Port 22
Port 23415
Definisci l'IP specifico : puoi sempre definire l'IP specifico dell'host dal quale di solito ssh al laptop e rilasciare tutte le altre richieste con IPTABLES con i seguenti comandi [qui sto assumendo che tu stia usando porta 23415 al posto di 22],
Rilascia IP che tenta di connettersi nella porta 22
sudo iptables -A INPUT -p tcp --dport 22 -j DROP
IP di whitelist: puoi aggiungere più IP.
sudo iptables -A INPUT -p tcp -s YOUR.IP.HERE --dport 23415 -j ACCEPT
sudo iptables -A INPUT -p tcp -s YOUR.Another.IP.HERE --dport 23415 -j ACCEPT
Rilascia la richiesta di altri IP:
sudo iptables -A INPUT -p tcp --dport 23415 -j DROP
Salva nuove regole:
sudo iptables-save
Utilizzo dell'app di protezione SSH: Sono disponibili molte app di protezione SSH come Fail2ban , Denyhost , Sshguard ecc.
Leggi altre domande sui tag distributed-computing ssh attacks