Недавно я заметил, что у меня много попыток входа в систему, более 2 миллионов и подсчет. Это, безусловно, грубая силовая атака.Autoblock ip on bruteforce attack on root (linux)
Как я могу автоматически блокировать ip в течение 15 минут при сбое доступа root ssh?
Мне не нужен брандмауэр; просто небольшой вариант для активации этой функции безопасности.
Что вы предлагаете?
Я предлагаю использовать SSH-ключи и вообще не использовать пароли. Даже если вы этого не сделаете, я рекомендую отключить SSH-вход как root напрямую. В любом случае вам не придется беспокоиться о вашей проблеме. Помните, что если вы блокируете IP-адреса при неудачных попытках входа в систему, вам придется беспокоиться об отказе в обслуживании, которые могут позволить кому-либо отказать вам в доступе к вашей собственной машине, если он находится за тем же NAT, что и вы, и т. Д. Также любой злоумышленник стоит своей соли в любом случае просто распространит атаку на многие IP-адреса.
fail2ban (работает из коробки, и работает достаточно хорошо)
не автоматическое решение, также у меня нет каких-либо путей, которые использует его сценарий/var/log/pwdfail /var/log/apache/error_log – TDSii
Для ssh, /var/log/auth.log будет то, что вы а другие - «бонусный материал». Помимо ssh, fail2ban также может обнаруживать и блокировать эксплойты на веб-сервере и некоторых других (см. Документацию). Он работает полностью автоматически, хотя, конечно, вам, возможно, придется настроить его один раз, чтобы сообщить ему, что именно вы хотите проверить. – Damon
У нас проблемы с этим тоже. Я, скорее всего, собираюсь изменить порт SSH на что-то, кроме 22, чтобы помешать ленивым нападавшим и сценаристам. Имейте в виду, что вы должны хранить свой SSH-порт ниже 1024, чтобы он был [привилегированным] портом] (http://stackoverflow.com/questions/10182798/why-are-ports-below-1024-privileged), который может только обеспечиваются корнем. –