For at beskytte vores server mod brute-force-adgangskoder kan du bruge sshguard eller sshit-værktøjerne.

Arbejdsprincipper.

sshguard og sshit fungerer på samme måde. De analyserer systemmeddelelser om forkert godkendelse, og hvis en vis værdi er nået, indtaster de den angribende ip i firewallens blokeringsregel. Efter en vis tid fjernes ip fra reglen.
Derfor kræves en konfigureret firewall til drift.

SSHGuard

sshguard kan arbejde med

• AIX native firewall- til IBM AIX-operativsystemer
• netfilter / iptables- til Linux-baserede operativsystemer
• Pakkefilter (PF)- til BSD-operativsystemer (Open, Free, Net, DragonFly -BSD)
• IPFirewall (IPFW)- til FreeBSD og Mac OS X
• IP-filter (IPFILTER)- til FreeBSD, NetBSD og Solaris
• tcpd "s hosts_access (/etc/hosts.allow)- bærbar på tværs af UNIX
• nul- Bærbar gør-intet-backend til anvendelse af detektion, men ikke forebyggelse

Jeg bruger PF så i noten er der eksempler i PF.

Installerer sshguard.

FreeBSD:

Installer fra porte

Cd / usr / porte / sikkerhed / sshguard-pf / && gør installationen ren

Hvis du af en eller anden grund ikke bruger porte, skal du downloade den seneste version fra sshguard-webstedet og kompilere manuelt

./configure --with-firewall = pf && lav && lav installation

Debian:

Opsætning af OS, så sshguard virker.

Opret en fil til lagring af logfiler

# touch / var / log / sshguard

Debian (wheezy):

Rediger følgende linje i // etc / default / sshguard

#mcedit / etc / default / sshguard #ARGS = "- a 40 -p 420 -s 1200" ARGS = "- a 5 -p 420 -s 2400 -b 5: / etc / sshguard / blacklist"

og genstart sshguard
service sshguard genstart

FreeBSD:

Vi skal tilføje to linjer til PF-konfigurationen

Bord blive ved

vi erklærer en tabel, hvor sshguard indtaster ip robotter.

Bloker hurtigt ind på $ if0 proto tcp fra

Faktisk selve blokeringsreglen, den burde være markeret helt øverst i regelblokken i PF-konfigurationsfilen. $ if0 grænsefladen, som forbindelser vil blive blokeret på, for at blokere på alle grænseflader, udskiftes med evt.
Læs konfigurationsfilen igen

Auth.info; authpriv.info | exec / usr / local / sbin / sshguard

og genstart syslog

# / etc / rc.d / syslogd genstart

Faktisk, efter disse manipulationer, vil sshguard blokere angreb med standardparametre.
Når man angriber ind /var/log/auth.log vi vil se noget i stil med følgende

Jun1611: 01: 40 www sshd: Ugyldig brugertest fra 61.172.251.183Jun1612: 29: 48 www sshd: Ugyldig brugertest fra85.114.130.168Jun1612: 29: 49 www.brugertest 16.11.1612:1612:1612:1612 www sshd: Ugyldig brugertest fra85.114.130.168Jun1612: 29: 50 www sshd: Ugyldig brugertest fra85.114.130.168Jun1612: 29: 50 www sshguard: Blokering85.114.130 sekunder over 85.114.130 sekunder: 4 sekunder over 4 sekunder.

Konfiguration af sshguard-indstillinger

sshguard har en række parametre, som vi kan tilsidesætte
-en antallet af mislykkede autentificeringsforsøg, hvorefter ip'en vil blive blokeret. Standard er 4.
-s hvor mange sekunder ip'en vil blive låst op. Standard er 420.
-s hvor mange sekunder sshguard husker ip. Standarden er 1200. For at gøre det klarere, hvis der er et angreb fra ip på 30 minutter, bliver det aldrig forbudt med standardindstillingen.
-w hvid ip, netværk eller sti til en fil med hvide adresser. Filformatet er en linje - en post, # definerer kommentarer.
-b bestemmer efter hvor mange blokerende ip der vil blive tilføjet til sortlisten og stien til den. Sortlisten indlæses, når sshguard starter og ryddes ikke automatisk.

sshguard har ikke en konfigurationsfil, parametrene indstilles når sshguard starter. I vores tilfælde starter sshguard syslog, så vi vil redigere syslog.conf, så sshguard blokerer ip efter 3 mislykkede autentificeringsforsøg i 30 minutter, og efter 5 låse sortliste den.

Auth.info; authpriv.info | exec / usr / local / sbin / sshguard -a 3-p 1500-b 5: /usr/local/etc/sshguard.blacklist

den første tid blokeres i 420 sekunder og slettes efter 7 minutter
anden gang med 2 * 420 y fjernes efter 14 minutter
tredje gang for 2 * 2 * 420 og slettes efter 28 minutter og så videre ...
2 ^ (N-1) * 420 N. gang.

Shit

Sshit er henholdsvis et perl script, det er nødvendigt for systemet at have perl, samt 2 moduler

• IPC :: Kan deles
• Proc :: PID :: Fil

Sshit kan kun fungere med pf og ipfw.

Installerer lort

Shit opsætning.

Sshit har en konfigurationsfil /usr/local/etc/sshit.conf, hvor du kan tilsidesætte standardindstillingerne.

FIREWALL_TYPE = "pf"; # Hvilken firewall bruger vi MAX_COUNT = 3; # Antal mislykkede godkendelsesforsøg, hvorefter ip er blokeret WITHIN_TIME = 60; # Inden for hvor mange sekunder skal det angivne antal mislykkede godkendelser ske RESET_IP = 300; # Efter hvor mange sekunder vil ip blive låst op. PFCTL_CMD = "/ sbin / pfctl"; PF_TABLE = "badhosts" # navn på tabellen, hvor dårlig ip er indtastet

Konfigurerer OS til shit.

I analogi med opsætning af sshguard, rediger PF-konfigurationsfilen

Bord persist blokerer hurtigt på $ if0 proto tcp fra til $ if0 port ssh etiket "ssh brute"

genlæse konfigurationsfilen

#pfctl -f /etc/pf.conf

Redigering af syslog.conf

Auth.info; authpriv.info | exec / usr / local / sbin / sshit

og genstart syslog

SSH er en sikker protokol til overførsel af data (kommandoer, filer, video osv.) mellem computere.

Som standard er det aktiveret på VPS og dedikerede servere hos de fleste hostingudbydere, da det gør det muligt nemt og sikkert at administrere en fjernmaskine. Du kan i øvrigt leje en VPS-server billigt på Well-Web-tjenesten. Da SSH er oppe på alle VPS, for at undgå problemer ved brug af Secure Shell, er ordentlig SSH-beskyttelse nødvendig.

Deaktiver root-adgang

Først og fremmest anbefales det at deaktivere muligheden for fjernforbindelse til maskinen under superbruger-kontoen (rod). For at gøre dette skal du finde filen sshd_config, som normalt (men ikke altid) er placeret i mappen / etc / ssh / og åbne den.

I den skal du finde PermitRootLogin-elementet og erstatte dets værdi med "nej", det vil sige, du skal få følgende post:

PermitRootLogin-nr

Dette vil naturligvis ikke forhindre hacking, men det vil gøre det noget sværere.

For at minimere muligheden for hacking anbefales det at bruge autorisation ved hjælp af nøgler i stedet for autorisation med login og adgangskode. Dette kan gøres på flere måder. Dette er i øvrigt også en god SSH-beskyttelse mod brute force.

Skift standardporten

Da serverhacking via SSH normalt forekommer gennem brute-force-angreb, ville det være rationelt at ændre standard 22. port til en anden. Dette er meget nemt at gøre. Først og fremmest skal du åbne den allerede nævnte sshd_config-fil og tilføje en linje der:

Port port_nummer

Indgangen vil for eksempel se således ud:

Dette vil betydeligt reducere antallet af personer, der ønsker uautoriseret adgang til serveren. Før du ændrer portnummeret, skal du sørge for, at det ikke skader driften af ​​andre programmer. Du skal også vælge en port, der endnu ikke er i brug, så programmer ikke kommer i konflikt på grund af det.

IP-adgangsbegrænsning

En anden beskyttelsesmetode, som praktisk talt vil reducere sandsynligheden for en uautoriseret forbindelse til nul, er at sætte begrænsninger på autorisation. SSH kan konfigureres på en sådan måde, at kun fjernmaskiner med specifikke IP-adresser kan logge ind på serveren. For at gøre dette skal du i sshd_config-filen på linjen TilladBruger tilføje @IP_nummer til navnet på hver bruger. For eksempel kan en post se sådan ud:

Tillad brugere [e-mailbeskyttet], [e-mailbeskyttet]

Før du bruger denne metode, anbefales det at sikre dig, at der ikke er situationer, hvor du muligvis skal logge ind på serveren fra en maskine, hvis IP-adresse ikke er angivet af konfigurationen.

Sikker adgangskode

Og selvfølgelig skal du bruge en brute-force adgangskode. Lang og med så mange forskellige symboler som muligt, gerne med krakozyabras. Dette er et must have.

Et af de almindelige angreb på SSH-tjenesten er et brute-force-angreb, hvor en fjernangriber i det uendelige forsøger at logge ind med forskellige adgangskoder. Selvfølgelig er der argumenter imod adgangskodegodkendelse til SSH, og der er alternative godkendelsesmekanismer, eksisterende muligheder såsom offentlig nøglegodkendelse eller tofaktorautentificering vil ophæve et brute-forcing angreb. Uden at komme ind i en diskussion om fordele og ulemper ved forskellige autentificeringsmetoder, lad os overveje en situation, hvor adgangskodegodkendelse er påkrævet. Hvordan beskytter du din SSH-server mod brute force-angreb?

fail2ban er en velkendt open source-ramme til forebyggelse af indtrængen til Linux, den overvåger forskellige systemlogfiler (f.eks. /var/log/auth.log eller / var / log / secure) og håndhæver automatisk forskellige forsvar mod opdagede mistænkelige handlinger. Faktisk kan fail2ban være meget nyttig til at beskytte mod brute-force-angreb på en SSH-server.

I denne tutorial vil jeg demonstrere hvordan man installerer og konfigurerer fail2ban for at beskytte SSH-serveren mod brute-force-angreb fra eksterne IP-adresser.

Installation af Fail2ban på Linux

For at installere fail2ban på CentOS eller RHEL skal du først installere EPEL-lageret og derefter køre følgende kommando.

For at installere fail2ban på Fedora skal du blot køre:

Sådan installeres fail2ban på Ubuntu, Debian eller Linux Mint:

Konfiguration af Fail2ban for SSH Server

Du er nu klar til at konfigurere fail2ban for at hærde din SSH-server. Du skal redigere konfigurationsfilen i /etc/fail2ban/jail.conf. Konfigurationsfilen indeholder en "DEFAULT" sektion, hvor du definerer standardparametre for alle tjenester, der overvåges, og tjenestespecifikke sektioner, hvor du definerer alle tjenestespecifikke jails (f.eks. SSH, Apache, osv.) for at overskrive parametre.

I fængselssektionen af ​​visse tjenester (et sted efter fængselssektionen) skal du definere en sektion, hvor du vil konfigurere specifikke indstillinger for SSH-fængsler. Det nuværende forbud mod IP-adresser udføres af iptables.

Følgende eksempel er i /etc/fail2ban/jail.conf, som indeholder "ssh-iptables" jail indstillingen. Selvfølgelig kan der være andre fængsler til forskellige applikationer, afhængigt af dine behov.

$ sudo vi /etc/fail2ban/jail.local # mellemrumssepareret liste over IP-adresser, CIDR-præfikser eller DNS-værtsnavne # for at omgå sikkerhed fail2ban ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/264 190.02. # antallet af sekunder, som klienten er blokeret bantime = 86400 # antallet af mislykkede forsøg, hvorefter blokeringen sker maxretry = 5 # antallet af sekunder, hvori mislykkede forsøg kumulativt registreres findtime = 600 mta = sendmail aktiveret = sand filter = sshd handling = iptables sendmail-whois # for Debian-baserede distributioner logpath = /var/log/auth.log # for Red Hat-baserede distributioner logpath = / var / log / secure # ssh-specifik maksimal tærskel for genforsøg maxretry = 3

I overensstemmelse med den givne konfiguration vil fail2ban automatisk forbyde enhver fjern-IP-adresse, hvorfra der er modtaget mindst 3 mislykkede forsøg inden for de sidste 10 minutter. Når den først er blevet forbudt, vil den fornærmende IP forblive blokeret i 24 timer. Denne begivenhed vil blive underrettet via mail.

Når konfigurationsfilen er klar, genstart fail2ban-tjenesten som vist nedenfor.

På Debian, Ubuntu eller CentOS / RHEL 6:

$ sudo service fail2ban genstart

På Fedora eller CentOS / RHEL 7:

$ sudo systemctl genstart fail2ban

For at kontrollere om fail2ban startede med succes, kør kommandoen fail2ban-client med argumentet "ping". Hvis fail2ban kører normalt, bør du se et "pong"-svar.

$ sudo fail2ban-client ping Server svarede: pong

Tester Fail2ban på SSH mod brute-force-angreb

For at kontrollere om fail2ban virker, prøv at logge ind på SSH-serveren ved at bruge den forkerte adgangskode for at simulere et brute force-angreb. I mellemtiden, tjek /var/log/fail2ban.log, som registrerer alle de interessante hændelser, der sker i fail2ban.

$ sudo tail -f /var/log/fail2ban.log

Ifølge loggen ovenfor forbød fail2ban IP-adressen 192.168.1.8, da den opdagede flere fejl i et forsøg på at logge på SSH fra denne IP-adresse.

Tjek Fail2ban-status og fjern blokering af blokerede IP-adresser

"ssh-iptables"-fængslet i fail2ban bruger iptables til at blokere IP-adresser på overtrædere, du kan nemt tjekke forbuddet ved at se på de aktuelle iptables-regler som vist nedenfor.

$ sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt ​​source destination fail2ban-SSH tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 22 Chain FORWARD (policy ACCEPT) target prot opt ​​​​kildedestination Kæde OUTPUT (politik ACCEPT) mål prot opt​ kilde destination Kæde fail2ban-SSH (1 referencer) mål prot opt​ kilde destination DROP alle - 192.168.1.8 0.0.0.0/0 RETURN alle - 0.0.0.0/0 0.0.0.0/0

Hvis du vil fjerne blokeringen af ​​IP-adresser fra fail2ban, kan du også køre kommandoen iptables:

$ sudo iptables -D fail2ban-SSH -s 192.168.1.8 -j DROP

Mens du manuelt kan kontrollere og administrere listen over blokerede IP'er i fail2ban ved hjælp af iptables-kommandoer, er den korrekte måde faktisk at bruge ail2ban-client-kommandolinjeværktøjet. Dette værktøj giver dig mulighed for at administrere ikke kun "ssh-iptables"-fængslet, men også enhver anden type fail2ban-fængsel i en samlet kommandolinjegrænseflade.

For at kontrollere fail2ban-status (som vil vise dig en liste over aktuelt aktive fængsler):

$ sudo fail2ban-klient status

Sådan tjekker du status for et specifikt fængsel (f.eks. ssh-iptables):

$ sudo fail2ban-client status ssh-iptables

Ovenstående kommando viser en liste over forbudte IP-adresser.

Sådan fjerner du blokeringen af ​​en specifik IP-adresse:

$ sudo fail2ban-klient sæt ssh-iptables unbanip 192.168.1.8

Bemærk, hvis du stopper fail2ban, vil alle blokerede IP-adresser blive ophævet. Når du genstarter fail2ban, vil den finde listen over fornærmende IP-adresser fra / var / log / secure (eller /var/log/auth.log) og genforbyde disse IP-adresser, hvis forbudstiden ikke er udløbet.

Indstilling af Fail2ban til at autoloade og aktivere

Når du har testet fail2ban med succes, er det sidste trin for at aktivere fail2ban at starte automatisk, når serveren tændes. På Debian-baserede distributioner er fail2ban autostart aktiveret som standard. På Red Hat-baserede distributioner skal du aktivere autostart på følgende måde.

På CentOS / RHEL 6:

$ sudo chkconfig fail2ban på

På Fedora eller CentOS / RHEL 7:

$ sudo systemctl aktiver fail2ban

Resultat

I denne tutorial demonstrerede jeg, hvordan man installerer og konfigurerer fail2ban for at sikre en SSH-server. Selvom fail2ban kan afbøde et brute-force-angreb, skal du huske, at det ikke kan beskytte SSH-servere mod komplekse (distribuerede) brute-force-kampagner, hvor angribere omgår fail2ban ved hjælp af tusindvis af bot-kontrollerede IP-adresser.

ÅbnSSH giver dig mulighed for at fjernforbindelse til serveren, manipulere filer og administrere systemet. I dag vil vi fortælle dig om de bedste metoder, der vil øge sikkerheden for et system baseret på OpenSSH.

Konfigurationsfiler

• / etc / ssh / sshd_config- OpenSSH server konfigurationsfil;
• / etc / ssh / ssh_config- konfigurationsfil for klientdelen af ​​OpenSSH;
• ~ / .ssh /- bibliotek, hvor brugerens SSH-indstillinger er gemt;
• ~ / .ssh / authorized_keys eller ~ / .ssh / authorized_keys- en liste over nøgler (RSA eller DSA), der bruges til at oprette forbindelse til brugerkonti;
• / etc / nologin- hvis denne fil findes i systemet, så vil sshd forhindre alle brugere undtagen root i at oprette forbindelse til systemet;
• /etc/hosts.allow og /etc/hosts.deny- forbudssystem (en del af sikkerheden). Fungerer analogt med ACL;
• SSH-port som standard - 22

Ikke nødvendigt - sluk den

Hvis din server ikke kræver en ekstern SSH-forbindelse, skal du sørge for at deaktivere den. Systemer som CentOS / RHEL gør det sådan:

Chkconfig sshd off yum slet openssh-server

Brug SSH version 2

SSH-protokollen for den første version har sikkerhedsproblemer, der er lukket i den anden version. Brug derfor den anden version. Sørg for, at Protocol 2-indstillingen er angivet i filen / etc / ssh / sshd_config.

Begræns SSH-adgang

Som standard kan alle systembrugere oprette forbindelse til systemet via SSH. Vi anbefaler, at du begrænser SSH-adgang af sikkerhedsmæssige årsager. Aktiver for eksempel SSH for root, merion og netværk:

Tillad brugere root merion netværk

På den anden side kan du give adgang til alle brugere undtagen de angivne:

DenyUsers root merion netværk

Inaktivitetstid

Det er vigtigt at angive det tidsrum, hvor en inaktiv session vil blive afsluttet (afsluttet). Dette kan gøres med følgende muligheder:

ClientAliveInterval 300 ClientAliveCountMax 0

I denne indstilling har vi angivet en inaktivitetstid på 300 sekunder (5 minutter).

Om .rhosts-filer

Faktum er, at denne fil indeholder en liste over værter og brugere. Hvis denne fil indeholder en kombination af vært og bruger, vil denne bruger være i stand til at oprette forbindelse til systemet via SSH uden at bede om en adgangskode. Vi anbefaler at deaktivere denne "vidunderlige" funktion:

IgnorerRhosts ja

Ingen værtsbaseret godkendelse!

Såkaldte Værtsbaseret godkendelse giver en bruger fra en bestemt vært mulighed for at oprette forbindelse til serveren. Deaktiver:

Hostbased Authentication No

Direkte rodforbindelse

PermitRootLogin-nr

Lav et banner

For hver forbindelse skal du oprette et banner, hvor du kan true ubudne gæster, der forsøger at få uautoriseret adgang. Banner-parameteren er ansvarlig for opsætning af et banner.

Port 22 kun indefra!

Giv kun adgang til port 22 i systemet gennem firewall-regelkæden. Det bedste af det hele er, at du kun har adgang fra LAN'et. For eksempel i Iptables du kan give adgang til 192.168.11.0/24:

A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m tilstand --state NY -p tcp --dport 22 -j ACCEPTERER

Hvor skal man lytte

Som standard lytter SSH efter forbindelser på alle tilgængelige grænseflader. Vi anbefaler at ændre standardporten og angive den IP-adresse, hvor du vil vente på en forbindelse. For eksempel vil vi angive port 962 og IP-adresse 192.168.11.24

Port 962 ListenAddress 192.168.11.24

Krypto-stærke adgangskoder

Brug stærke adgangskoder. Der er mange værktøjer på netværket, der genererer en kryptografisk adgangskode online, gratis og uden SMS :)

Afvis tomme adgangskoder

Der er brugere uden adgangskoder. Deres SSH-adgang skal også nægtes ved at bruge muligheden:

Port 962 PermitEmptyPasswords no

Analyser logfiler

Indstil hændelseslogning til INFO- eller DEBUG-tilstand - dette giver dig mulighed for at få udvidet kontrol over systemet:

LogLevel INFO

Var denne artikel nyttig for dig?

Vær sød at fortælle mig hvorfor?

Vi beklager, at artiklen ikke var nyttig for dig: (Venligst, hvis det ikke gør det svært, angiv hvorfor? Vi vil være meget taknemmelige for et detaljeret svar. Tak, fordi du hjælper os med at blive bedre!

I denne artikel vil vi se på en grundlæggende metode til at beskytte SSH mod masse bruteforce angreb. I dette tilfælde betyder et masse bruteforce-angreb ikke et målrettet brute-force-angreb på din SSH-adgangskode, men en omfattende beslaglæggelse af en række servere, til efterfølgende identifikation fra det, som er ustabile til brute-force login-adgangskode-parring.

Hovedtrækkene i det massive bruteforce SSH-angreb er omfattende scanning af IP-områder på åben port 22 og brugen af ​​brugernavn og adgangskode, som ofte bruges (f.eks. root: passwd123, admin: server123 osv.).

For at se statistik fra logfilerne over mislykkede SSH-godkendelsesforsøg på din server skal du indtaste kommandoen:

Kat / var / log / sikker * | grep "Mislykket adgangskode" | grep sshd | awk "(udskriv $ 1, $ 2)" | sort -k 1,1M -k 2n | enestående -c

Dette skærmbillede giver statistik over antallet af mislykkede godkendelser pr. dag. Hvis du stjæler lignende data fra dig selv, bør du træffe foranstaltninger for at beskytte din SSH mod massiv bruteforce.

1. Hvis du Brug ikke for autorisation, almindeligt anvendte brugernavne såsom root, admin, administrator, bruger osv. og brug en kompleks adgangskode til godkendelse, så kan du straks gå til det andet punkt. For at ændre adgangskoden til en mere kompleks, skal du indtaste kommandoen:

Adgangskode # dit_login #

hvor # dit_login #- Dit brugernavn.
Når du indtaster en ny adgangskode, vises adgangskoden ikke, markøren vil være ét sted.

Lad os gå til serveren via SSH, oprette en ny bruger og indstille en adgangskode til ham, for dette indtaster vi kommandoerne:

Adduser # newuser # passwd # newuser #

hvor # ny bruger #- Dit nye brugernavn, brug ikke almindeligt brugte brugernavne, ikke en dårlig mulighed din_nickadmin(fx foxadmin, useralex, rootidler).

2. Gå derefter gennem SSH med et nyt brugernavn og adgangskode. Og åbn SSH-dæmon-konfigurationen (sshd_config) med kommandoen:

Vi / etc / ssh / sshd_config

Derefter skulle du se noget som dette:

Linjer der starter med # er kommenteret ud.

Til beskytte SSH mod massiv bruteforce, fjern kommentarer og rediger eller tilføj følgende parametre fil:
en) Havn- den havn, hvorpå SSHD accepterer og servicerer forbindelser. Fjern kommentarer (fjern før begyndelsen af ​​linjen # ) og ændre standarden 22 , til enhver anden fra 1024 til 65536, undtagen reserverede - en liste over reserverede havne, for eksempel:

Port 2022

At slette # og ændre værdien port 22, tryk først på tastaturet jeg, efter at have redigeret den ønskede linje, tryk på tasten ESC

b) LoginGraceTime- ventetid på brugerregistrering i systemet. Hvis det ikke lykkedes brugeren at logge på systemet inden for den tid, der er tildelt i dette direktiv, afsluttes sessionen. Lad os mindske denne værdi:

LoginGraceTime 1m

c) PermitRootLogin- tillad bruger rod login via SSH-protokol. Skifte til ingen.

PermitRootLogin-nr

d) Tillad brugere- brugernavne tilladt til login via SSH-protokol, adskilt af et mellemrum. Her, i stedet for # your_login #, angiver vi det nyoprettede brugernavn.

TilladBrugere # dit_login #

e) MaxAuthTries- antallet af forsøg på at logge på systemet i én session. Når det maksimalt tilladte antal forsøg er nået, afsluttes sessionen.

MaxAuthTries 2

Som et resultat får vi:

Port 2022 LoginGraceTime 1m PermitRootLogin no AllowUsers # your_login # MaxAuthTries 2

I denne artikel afslutter vi opsætningen. SSH for at beskytte mod masse råstyrke... Efter redigering , tryk på på tastaturet : , vises en linje nedenfor, og indtast derefter i den wq og tryk på tasten Gå ind... I dette tilfælde vil alle foretagne ændringer blive gemt.

Hvis du gjorde noget forkert (f.eks. slettede du noget ved et uheld), at afslutte uden at gemme brug i stedet for tastaturgenvejen wq, nøgler q!

Efter at have fuldført SSH-konfigurationen, genstart dæmonen med kommandoen:

Service sshd genstart

Når du nu opretter forbindelse via SSH-protokol, skal du bruge den nye port 2022 (eller den, du har angivet i indstillingerne) i stedet for standard port 22.

I den næste artikel om opsætning af SSH vil jeg gerne fortælle dig, mens vi vil forbyde adgangskodeautorisation og kun tillade godkendelse ved at bruge den private SSH-nøgle, og derved beskytte os selv så meget som muligt mod at gætte adgangskoden.

I kontakt med