Protejarea serverelor de bruteforce este unul dintre aspectele cele mai importante și fundamentale ale securității. Dacă sortați prin combinațiile parolei de conectare, atunci nu este departe de acea zi, când cel puțin ceva este luat. Pentru a face acest lucru, trebuie să limitați numărul de încercări de a stabili o conexiune într-o anumită perioadă. Îmi place următoarea configurație. Utilizatorul se poate conecta la portul SSH o dată la fiecare 15 minute. Numai după acest timp el o poate face din nou. Adică, nu contează nici dacă parola a fost corectă sau nu. Sistemul își marchează pachetele pentru el însuși. Și dacă încercarea este repetată, el va fi refuzat.
Acum vom îmbunătăți schema noastră puțin.
În primul rând, vom include așa-numita "protecție de la un prost" - vom depăși serverul SSH într-un alt port. De exemplu, la 987
Pentru a face acest lucru, trebuie doar să găsiți linia din fișierul de configurare / etc / ssh / sshd_config
și înlocuiți-l cu portul dorit. În cazul nostru, la 987. Apoi, pentru a aplica setările, trebuie să reporniți daemonul SSH
Etajul cazului este făcut. Să mergem mai departe.
În biroul unde lucrez cu serverul, statica IP externă. Acest lucru ne va ajuta în identificare. Trebuie să explicăm firewall-ului că suntem buni și că ar fi bine să începem întotdeauna. Adăugăm mai întâi o permisiune permanentă din partea IP a biroului nostru. Pentru aceasta, adăugați următoarele rânduri în fișierul / etc / sysconfig / iptables.
Această regulă ne va permite să ignorăm tot timpul traficul din rețeaua noastră. Indiferent de numărul de conexiuni.
Mai serioase. Restul traficului care merge la SSH care nu se încadrează în aceste reguli va fi marcat și înregistrat. Pe baza jurnalelor, va exista o blocare.
parametrul-secunde este responsabil pentru timpul în care conexiunea poate fi blocată.
-hitcount specifică pe cine să refuze conexiunea.
După cum sa dovedit, nimic complicat.
Acum trebuie doar să reciti regulile. Nu mă deranjez prea mult și doar repornesc serviciul
De asemenea, va fi interesant:
Navigare după înregistrări
Articole similare
Trimiteți-le prietenilor: