За да защитите нашия сървър от пароли с груба сила, можете да използвате помощните програми sshguard или sshit.

Принципи на работа.

sshguard и sshit работят по същия начин. Те анализират системните съобщения за неправилно удостоверяване и при достигане на определена стойност въвеждат атакуващия ip в правилото за блокиране на защитната стена. След определено време ip се премахва от правилото.
Съответно, за работа е необходима конфигурирана защитна стена.

SSHGuard

sshguard може да работи с

• Вградена защитна стена на AIX- за операционни системи IBM AIX
• netfilter / iptables- за Linux-базирани операционни системи
• Пакетен филтър (PF)- за операционни системи BSD (Open, Free, Net, DragonFly -BSD)
• IPFirewall (IPFW)- за FreeBSD и Mac OS X
• IP филтър (IPFILTER)- за FreeBSD, NetBSD и Solaris
• tcpd "s hosts_access (/etc/hosts.allow)- преносим в UNIX
• нула- преносим бекенд, който не прави нищо за прилагане на откриване, но не и за предотвратяване

Използвам PF, така че в бележката има примери в PF.

Инсталиране на sshguard.

FreeBSD:

Инсталирайте от портове

Cd / usr / ports / security / sshguard-pf / && направи инсталацията чиста

Ако по някаква причина не използвате портове, изтеглете най-новата версия от уебсайта на sshguard и компилирайте ръчно

./configure --with-firewall = pf && направи && направи инсталиране

Debian:

Настройка на операционната система, за да работи sshguard.

Създайте файл за съхранение на регистрационни файлове

# touch / var / log / sshguard

Debian (хрипове):

Редактирайте следния ред в // etc / default / sshguard

#mcedit / etc / default / sshguard #ARGS = "- a 40 -p 420 -s 1200" ARGS = "- a 5 -p 420 -s 2400 -b 5: / etc / sshguard / blacklist"

и рестартирайте sshguard
рестартиране на услугата sshguard

FreeBSD:

Трябва да добавим два реда към конфигурацията на PF

Таблица упорствам

декларираме таблица, в която sshguard влиза в ip robots.

Бързо блокиране на $ if0 proto tcp от

Всъщност самото правило за блокиране, то трябва да бъде маркирано в самия горен край на блока с правила на конфигурационния файл на PF. $ if0 интерфейсът, на който ще бъдат блокирани връзките, за блокиране на всички интерфейси, заменете с всеки.
Прочетете отново конфигурационния файл

Auth.info; authpriv.info | exec / usr / local / sbin / sshguard

и рестартирайте syslog

# / etc / rc.d / syslogd рестартиране

Всъщност, след тези манипулации, sshguard ще блокира атаките с параметри по подразбиране.
При атака в /var/log/auth.logще видим нещо като следното

Jun1611: 01: 40 www sshd: Невалиден потребителски тест от 61.172.251.183Jun1612: 29: 48 www sshd: Невалиден потребителски тест от 85.114.130.168Jun1612: 29: 49 www sshd.1619: Invalid user test: 14un 140:128 от 128 www sshd: Невалиден потребителски тест от 85.114.130.168Jun1612: 29: 50 www sshd: Невалиден потребителски тест от 85.114.130.168Jun1612: 29: 50 www sshguard: Блокиране85.114.114.130 секунди за неуспех над 6 114.130 секунди.

Конфигуриране на опции за sshguard

sshguard има редица параметри, които можем да заменим
-аброят на неуспешните опити за удостоверяване, след които IP ще бъде блокиран. По подразбиране е 4.
-стрколко секунди ще се отключи ip. По подразбиране е 420.
-сколко секунди sshguard помни ip. По подразбиране е 1200. За да стане по-ясно, ако има една атака от ip за 30 минути, тогава тя никога няма да бъде забранена с настройката по подразбиране.
-wбял IP адрес, мрежа или път към файл с бели адреси. Форматът на файла е един ред - един запис, # дефинира коментари.
-бопределя след колко блокиращи IP адреси ще бъдат добавени към черния списък и пътя към него. Черният списък се зарежда, когато sshguard стартира и не се изчиства автоматично.

sshguard няма конфигурационен файл, параметрите се задават при стартиране на sshguard. В нашия случай sshguard стартира syslog, така че ще редактираме syslog.conf, така че sshguard да блокира ip след 3 неуспешни опита за удостоверяване за 30 минути и след 5 заключвания да го постави в черен списък.

Auth.info; authpriv.info | exec / usr / local / sbin / sshguard -a 3-p 1500-b 5: /usr/local/etc/sshguard.blacklist

първият път се блокира за 420 секунди и се изтрива след 7 минути
вторият път с 2 * 420 y се отстранява след 14 минути
трети път за 2 * 2 * 420 и се изтрива след 28 минути и така нататък ...
2 ^ (N-1) * 420 N-ти път.

мамка му

Sshit е perl скрипт, съответно е необходимо системата да има perl, както и 2 модула

• IPC :: Възможност за споделяне
• Proc :: PID :: Файл

Sshit може да работи само с pf и ipfw.

Инсталиране на sshit

По дяволите конфигурация.

Sshit има конфигурационен файл /usr/local/etc/sshit.conf, в който можете да замените настройките по подразбиране.

FIREWALL_TYPE = "pf"; # Каква защитна стена използваме MAX_COUNT = 3; # Брой неуспешни опити за удостоверяване, след които ip се блокира WITHIN_TIME = 60; # В рамките на колко секунди трябва да се случи посоченият брой неуспешни удостоверения RESET_IP = 300; # След колко секунди ip ще бъде отключен. PFCTL_CMD = "/ sbin / pfctl"; PF_TABLE = "badhosts" # име на таблицата, където се въвежда лош IP

Конфигуриране на ОС за sshit.

По аналогия с настройката за sshguard, редактирайте конфигурационния файл на PF

Таблица persist block in quick on $ if0 proto tcp from до $ if0 порт ssh етикет "ssh brute"

прочетете отново конфигурационния файл

#pfctl -f /etc/pf.conf

Редактиране на syslog.conf

Auth.info; authpriv.info | exec / usr / local / sbin / sshit

и рестартирайте syslog

SSH е защитен протокол за прехвърляне на данни (команди, файлове, видео и др.) между компютри.

По подразбиране той е активиран на VPS и специални сървъри на повечето хостинг доставчици, тъй като прави възможно лесно и безопасно управление на отдалечена машина. Между другото, можете да наемете VPS сървър евтино в услугата Well-Web. Тъй като SSH е включен на всички VPS, за да се избегнат проблеми при използване на Secure Shell, е необходима правилна SSH защита.

Деактивирайте root достъпа

На първо място, препоръчително е да деактивирате възможността за дистанционно свързване към машината под акаунта на суперпотребител (root). За да направите това, трябва да намерите файла sshd_config, който обикновено (но не винаги) се намира в директорията / etc / ssh /, и да го отворите.

В него трябва да намерите елемента PermitRootLogin и да замените стойността му с "не", тоест трябва да получите следния запис:

PermitRootLogin no

Естествено, това няма да предотврати хакването, но ще го направи малко по-трудно.

За да се сведе до минимум възможността за хакване, се препоръчва използването на упълномощаване с ключове вместо оторизация чрез потребителско име и парола. Това може да стане по няколко начина. Това, между другото, също е добра SSH защита срещу груба сила.

Променете порта по подразбиране

Тъй като хакването на сървъра чрез SSH обикновено се случва чрез атаки с груба сила, би било рационално да промените стандартния 22-ри порт на друг. Това е много лесно да се направи. На първо място, трябва да отворите вече споменатия sshd_config файл и да добавите един ред там:

Порт номер_порт

Записът ще изглежда, например, както следва:

Това значително ще намали броя на хората, желаещи да получат неоторизиран достъп до сървъра. Преди да промените номера на порта, не забравяйте да се уверите, че той не вреди на работата на други приложения. Трябва също да изберете порт, който все още не се използва, така че програмите да не влизат в конфликт поради това.

Ограничение на IP достъп

Друг метод за защита, който на практика ще намали вероятността от неоторизирана връзка до нула, е да зададете ограничения за оторизация. SSH може да бъде конфигуриран по такъв начин, че само отдалечени машини със специфични IP адреси да могат да влизат в сървъра. За да направите това, във файла sshd_config, в реда AllowUser добавете @IP_number към името на всеки потребител. Например записът може да изглежда така:

Разрешаване на потребители [защитен с имейл], [защитен с имейл]

Преди да използвате този метод, се препоръчва да се уверите, че няма ситуации, в които може да се наложи да влезете в сървъра от машина, чийто IP адрес не е предоставен от конфигурацията.

Сигурна парола

И разбира се, трябва да използвате парола с груба сила. Дълги и с колкото се може повече различни символи, за предпочитане с кракозябри. Това е задължително.

Една от често срещаните атаки срещу SSH услугата е атака с груба сила, при която отдалечен нападател безкрайно се опитва да влезе с различни пароли. Разбира се, има аргументи срещу удостоверяването с парола за SSH и има алтернативни механизми за удостоверяване, съществуващите опции като удостоверяване с публичен ключ или двуфакторна автентификация ще отменят грубата атака. Без да навлизаме в дискусия за предимствата и недостатъците на различните методи за удостоверяване, нека разгледаме ситуация, при която се изисква удостоверяване с парола. Как защитавате вашия SSH сървър от атаки с груба сила?

fail2ban е добре позната рамка за предотвратяване на проникване с отворен код за Linux, тя следи различни системни регистрационни файлове (напр. /var/log/auth.log или / var / log / secure) и автоматично налага различни защити срещу открити подозрителни действия. Всъщност fail2ban може да бъде много полезен за защита срещу атаки с груба сила на SSH сървър.

В този урок ще демонстрирам как да инсталирате и конфигурирате fail2ban за защита на SSH сървъра срещу груби атаки от отдалечени IP адреси.

Инсталиране на Fail2ban на Linux

За да инсталирате fail2ban на CentOS или RHEL, първо инсталирайте EPEL хранилището и след това изпълнете следната команда.

За да инсталирате fail2ban на Fedora, просто изпълнете:

За да инсталирате fail2ban на Ubuntu, Debian или Linux Mint:

Конфигуриране на Fail2ban за SSH сървър

Вече сте готови да конфигурирате fail2ban, за да втвърдите вашия SSH сървър. Трябва да редактирате конфигурационния файл в /etc/fail2ban/jail.conf. Конфигурационният файл съдържа раздел „ПО ПОДРАЗБИРАНЕ“, където дефинирате параметри по подразбиране за всички услуги, които се наблюдават, и специфични за услугата секции, където дефинирате всякакви специфични за услугата затвори (напр. SSH, Apache и т.н.) за презаписване на параметри.

В секцията jail на определени услуги (някъде след секцията jail) трябва да дефинирате секция, където ще конфигурирате специфични настройки за SSH затвори. Текущата забрана на IP адресите се извършва от iptables.

Следният пример е в /etc/fail2ban/jail.conf, който съдържа настройката на затвора "ssh-iptables". Разбира се, може да има и други затвори за различни приложения, в зависимост от вашите нужди.

$ sudo vi /etc/fail2ban/jail.local # разделен с интервал списък с IP адреси, CIDR префикси или DNS имена на хостове # за заобикаляне на сигурността fail2ban ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24/24 19.0.2 # броят секунди, за които клиентът е блокиран bantime = 86400 # броят на неуспешните опити, след които блокирането се извършва maxretry = 5 # броят на секундите, през които неуспешните опити се записват кумулативно findtime = 600 mta = sendmail е активиран = true filter = sshd action = iptables sendmail-whois # за базирани на Debian дистрибуции logpath = /var/log/auth.log # за базирани на Red Hat дистрибуции logpath = / var / log / secure # специфичен за ssh максимален праг за повторен опит maxretry = 3

В съответствие с дадената конфигурация fail2ban автоматично ще забрани всички отдалечени IP адреси, от които са получени поне 3 неуспешни опита през последните 10 минути. След като бъде забранен, нарушителят IP ще остане блокиран за 24 часа. Това събитие ще бъде уведомено по пощата.

След като конфигурационният файл е готов, рестартирайте услугата fail2ban, както е показано по-долу.

На Debian, Ubuntu или CentOS / RHEL 6:

$ sudo услуга fail2ban рестартиране

На Fedora или CentOS / RHEL 7:

$ sudo systemctl рестартирайте fail2ban

За да проверите дали fail2ban стартира успешно, изпълнете командата fail2ban-client с аргумента „ping“. Ако fail2ban работи нормално, трябва да видите отговор „понг“.

$ sudo fail2ban-client ping Сървърът отговори: pong

Тестване на Fail2ban на SSH срещу атаки с груба сила

За да проверите дали fail2ban работи, опитайте да влезете в SSH сървъра, като използвате грешна парола, за да симулирате атака с груба сила. Междувременно проверете /var/log/fail2ban.log, който записва всички интересни събития, които се случват в fail2ban.

$ sudo tail -f /var/log/fail2ban.log

Според дневника по-горе, fail2ban забрани IP адреса 192.168.1.8, тъй като откри множество грешки при опит за влизане в SSH от този IP адрес.

Проверете състоянието на Fail2ban и деблокирайте блокирани IP адреси

Затворът „ssh-iptables“ в fail2ban използва iptables за блокиране на IP адресите на нарушителите, можете лесно да проверите забраната, като разгледате текущите правила на iptables, както е показано по-долу.

$ sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt ​​източник дестинация fail2ban-SSH tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 22 Chain FORWARD (policy ACCEPT) target prot opt ​​​​източник дестинация Chain OUTPUT (policy ACCEPT) target prot opt ​​източник дестинация Chain fail2ban-SSH (1 препратки) target prot opt ​​източник дестинация DROP all - 192.168.1.8 0.0.0.0/0 RETURN all - 0.0.0.0/0 0.0.0.0/0

Ако искате да деблокирате IP адреси от fail2ban, можете също да изпълните командата iptables:

$ sudo iptables -D fail2ban-SSH -s 192.168.1.8 -j ИЗПУСКАНЕ

Въпреки че можете ръчно да проверявате и управлявате списъка с блокирани IP адреси в fail2ban с помощта на команди iptables, правилният начин всъщност е да използвате инструмента за команден ред ail2ban-client. Този инструмент ви позволява да управлявате не само затвора „ssh-iptables“, но и всеки друг тип fail2ban затвор в унифициран интерфейс на командния ред.

За да проверите състоянието на fail2ban (което ще ви покаже списък с активни в момента затвори):

$ sudo fail2ban статус на клиент

За да проверите състоянието на конкретен затвор (например ssh-iptables):

$ sudo fail2ban-client status ssh-iptables

Горната команда ще покаже списък със забранени IP адреси.

За да деблокирате конкретен IP адрес:

$ sudo fail2ban-client set ssh-iptables unbanip 192.168.1.8

Имайте предвид, че ако спрете fail2ban, всички блокирани IP адреси ще бъдат деблокирани. Когато рестартирате fail2ban, той ще намери списъка с нарушаващи IP адреси от / var / log / secure (или /var/log/auth.log) и ще забрани повторно тези IP адреси, ако времето за забрана не е изтекло.

Задаване на Fail2ban за автоматично зареждане и активиране

След като сте тествали успешно fail2ban, последната стъпка за активиране на fail2ban е автоматичното стартиране, когато сървърът е включен. При дистрибуции, базирани на Debian, автоматичното стартиране на fail2ban е активирано по подразбиране. В дистрибуции, базирани на Red Hat, активирайте автоматичното стартиране по следния начин.

На CentOS / RHEL 6:

$ sudo chkconfig fail2ban включен

На Fedora или CentOS / RHEL 7:

$ sudo systemctl активира fail2ban

Резултат

В този урок демонстрирах как да инсталирате и конфигурирате fail2ban за защита на SSH сървър. Въпреки че fail2ban може да смекчи атаката с груба сила, моля, не забравяйте, че не може да защити SSH сървърите срещу сложни (разпределени) кампании с груба сила, при които нападателите заобикалят fail2ban, използвайки хиляди IP адреси, контролирани от ботове.

OpenSSHви позволява да се свързвате отдалечено със сървъра, да манипулирате файлове и да управлявате системата. Днес искаме да ви разкажем за най-добрите методи, които ще увеличат сигурността на система, базирана на OpenSSH.

Конфигурационни файлове

• / etc / ssh / sshd_config- конфигурационен файл на OpenSSH сървър;
• / etc / ssh / ssh_config- конфигурационен файл на клиентската част на OpenSSH;
• ~ / .ssh /- директория, в която се съхраняват потребителските SSH настройки;
• ~ / .ssh / authorized_keys или ~ / .ssh / authorized_keys- списък с ключове (RSA или DSA), които се използват за свързване с потребителски акаунти;
• / etc / nologin- ако този файл съществува в системата, тогава sshd ще попречи на всички потребители с изключение на root да се свързват със системата;
• /etc/hosts.allow и /etc/hosts.deny- забранителна система (част от сигурността). Работи по аналогия с ACL;
• SSH порт по подразбиране - 22

Не е необходимо - изключете го

Ако вашият сървър не изисква отдалечена SSH връзка, не забравяйте да го деактивирате. Системи като CentOS / RHEL го правят по следния начин:

Chkconfig sshd изключете yum изтрийте openssh-сървър

Използвайте SSH версия 2

SSH протоколът от първата версия има проблеми със сигурността, които са затворени във втората версия. Затова използвайте втората версия. Уверете се, че опцията Protocol 2 е посочена във файла / etc / ssh / sshd_config.

Ограничете SSH достъпа

По подразбиране всички потребители на системата могат да се свързват със системата чрез SSH. Препоръчваме ви да ограничите SSH достъпа за целите на сигурността. Например, активирайте SSH за root, merion и мрежи:

AllowUsers root merion мрежи

От друга страна, можете да предоставите достъп на всички потребители с изключение на посочените:

DenyUsers root Merion мрежи

Време на неактивност

Важно е да посочите времето, през което една неактивна сесия ще бъде прекратена (завършена). Това може да стане със следните опции:

ClientAliveInterval 300 ClientAliveCountMax 0

В тази настройка сме посочили време на неактивност от 300 секунди (5 минути).

Относно .rhosts файловете

Факт е, че този файл съдържа списък с хостове и потребители. Ако този файл съдържа комбинация от хост и потребител, тогава този потребител ще може да се свърже със системата чрез SSH, без да иска парола. Препоръчваме да деактивирате тази "прекрасна" функция:

IgnoreRhosts да

Без удостоверяване, базирано на хост!

Т.нар Удостоверяване, базирано на хостпозволява на потребител от конкретен хост да се свърже със сървъра. Деактивиране:

Базирано на хост удостоверяване №

Директна root връзка

PermitRootLogin no

Направете банер

За всяко свързване създайте банер, в който можете да заплашвате натрапници, които се опитват да направят неоторизиран достъп. Параметърът Banner е отговорен за настройката на банер.

Порт 22 само отвътре!

Правете достъп до порт 22 на системата само чрез веригата от правила на защитната стена. Най-доброто от всичко, оставете достъп само от LAN. Например, в Iptablesможете да дадете достъп до 192.168.11.0/24:

A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m състояние --state НОВО -p tcp --dport 22 -j ПРИЕМАНЕ

Къде да слушам

По подразбиране SSH слуша за връзки на всички налични интерфейси. Препоръчваме да промените порта по подразбиране и да посочите IP адреса, където искате да изчакате връзка. Например, ще посочим порт 962 и IP адрес 192.168.11.24

Порт 962 ListenAddress 192.168.11.24

Крипто-силни пароли

Използвайте силни пароли. В мрежата има много инструменти, които ще генерират криптографска парола онлайн, безплатно и без SMS :)

Отказване на празни пароли

Има потребители без пароли. Техният SSH достъп също трябва да бъде отказан с помощта на опцията:

Порт 962 PermitEmptyPasswords бр

Анализирайте дневниците

Задайте регистрирането на събития на режим INFO или DEBUG - това ще ви позволи да имате разширен контрол върху системата:

LogLevel INFO

Тази статия беше ли ви полезна?

Моля те кажи ми защо?

Съжаляваме, че статията не ви е била полезна: (Моля, ако не я затруднява, посочете защо? Ще бъдем много благодарни за подробния отговор. Благодарим ви, че ни помогнахте да станем по-добри!

В тази статия ще разгледаме основен метод за защита от SSH масаатаки с груба сила. В този случай масова атака с груба сила не означава целенасочена атака с груба сила върху вашата SSH парола, а обширно изземване на набор от сървъри, за последващо идентифициране на тези нестабилни сдвоени парола за вход с груба сила.

Основните характеристики на масивната SSH атака с груба сила са широкото сканиране на IP диапазони на отворен порт 22 и използването на потребителско име и парола, които често се използват (например root: passwd123, admin: server123 и т.н.).

За да видите статистически данни от регистрационните файлове за неуспешни опити за SSH авторизация на вашия сървър, въведете командата:

Cat / var / log / secure * | grep "Неуспешна парола" | grep sshd | awk "(отпечатване $1, $2)" | сортиране -k 1,1M -k 2n | uniq -c

Тази екранна снимка предоставя статистически данни за броя на неуспешните оторизации по ден. Ако откраднете подобни данни от себе си, тогава трябва да вземете мерки за защита на вашия SSH от масивна груба сила.

1. Ако вие не използвайза оторизация, често използвани потребителски имена като root, администратор, администратор, потребител и т.н. и използвайте сложна парола за оторизация, тогава можете веднага да отидете на втората точка. За да промените паролата на по-сложна, въведете командата:

Paswd # your_login #

където # your_login #- Вашето потребителско име.
При въвеждане на нова парола паролата не се показва, курсорът ще бъде на едно място.

Да отидем на сървъра чрез SSH, да създадем нов потребител и да зададем парола за него, за това въвеждаме командите:

Adduser # newuser # passwd # newuser #

където # нов потребител #- Вашето ново потребителско име, не използвайте често използвани потребителски имена, не е лоша опция your_nickadmin(напр. foxadmin, useralex, rootidler).

2. След това преминете през SSH с ново потребителско име и парола. И отворете конфигурацията на SSH демон (sshd_config) с командата:

Vi / etc / ssh / sshd_config

След това трябва да видите нещо подобно:

Редове, започващи с # се коментират.

Да се защита на SSH от масивна груба сила, разкоментирайте и променете или добавете следните параметри файл:
а) пристанище- пристанището, на което SSHDприема и обслужва връзки. Декоментирайте (премахнете преди началото на реда # ) и променете по подразбиране 22 , към всеки друг от 1024 до 65536, с изключение на запазените - списък с резервирани портове, например:

Порт 2022

Да изтрия # и променете стойността порт 22, натиснете първо на клавиатурата и, след като редактирате желания ред, натиснете клавиша ESC

б) LoginGraceTime- време за изчакване за регистрация на потребител в системата. Ако потребителят не успее да влезе в системата в рамките на времето, определено от тази директива, сесията се прекратява. Нека намалим тази стойност:

GraceTime за влизане 1м

° С) Разрешете RootLogin- разреши на потребителя коренвлизане чрез SSH протокол. Промени на не.

PermitRootLogin no

д) Разрешаване на потребители- потребителски имена, разрешени за влизане чрез SSH протокол, разделени с интервал. Тук вместо # your_login #, ние посочваме новото създадено потребителско име.

AllowUsers # your_login #

д) MaxAuthTries- броя на опитите за влизане в системата за една сесия. Когато се достигне максималният разрешен брой опити, сесията се прекратява.

MaxAuthTries 2

В резултат на това получаваме:

Port 2022 LoginGraceTime 1m PermitRootLogin no AllowUsers # your_login # MaxAuthTries 2

В тази статия ще завършим настройката. SSHза защита от маса груба сила... След редактиране , натиснете на клавиатурата : , отдолу се появява ред и след това въведете в него wqи натиснете клавиша Въведете... В този случай всички направени промени ще бъдат запазени.

Ако сте направили нещо нередно (например случайно сте изтрили нещо), за излизане без запазванеизползвайте вместо клавишната комбинация wq, ключове q!

След като завършите конфигурацията на SSH, рестартирайте демона с командата:

Рестартиране на услугата sshd

Сега, когато се свързвате чрез SSH протокол, използвайте новия порт 2022 (или този, който сте посочили в настройките) вместо стандартен порт 22.

В следващата статия за конфигуриране на SSH бих искал да ви кажа, докато ние ще забраним упълномощаването на парола и ще разрешим оторизация само с помощта на частния SSH ключ, като по този начин ще се предпазим възможно най-много от отгатване на парола.

Във връзка с