Често задавани въпроси

Глупави въпроси няма, има само глупави отговори…

абонаменти

За ЧЗВ.нет

Хранилище на отговори на Често Задавани Въпроси. Като начало - основно в сферата на IT ( ИТ, Информационни Технологии... абе компютрите ). Ако не можете да намерите отговора на това, което живо ви интересува - питайте на vupros@chzv.net (опашката от чакащи отговори въпроси се намира на тук ) И за да не се заяждате за транслитерацията можете да изпращате и на vapros@chzv.net, vaprosi@chzv.net, question@chzv.net, faq@chzv.net...

Категории

Блогове

Защитете отворените SSH сървъри

November 6th, 2007 от singu

Ако имате Linux сървър, той е достъпен откъм Интернет и имате пуснат SSH сървър, то най-вероятно в лога си имате доста редове от типа:

Oct 29 05:12:51 itil sshd(pam_unix)[3999]: check pass; user unknown
Oct 29 05:12:51 itil sshd(pam_unix)[3999]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=83.242.191.10
Oct 29 05:12:54 itil sshd(pam_unix)[4001]: check pass; user unknown
Oct 29 05:12:54 itil sshd(pam_unix)[4001]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=83.242.191.10
Oct 29 05:12:58 itil sshd(pam_unix)[4004]: check pass; user unknown
Oct 29 05:12:58 itil sshd(pam_unix)[4004]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=83.242.191.10
Oct 29 05:13:01 itil sshd(pam_unix)[4006]: check pass; user unknown
Oct 29 05:13:01 itil sshd(pam_unix)[4006]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=83.242.191.10

… което е точно това, което си мислите - някой от Русия се е опитал да се логне в нашият сървър с грешен потребител и/или парола. Голямата вероятност е този адрес да принадлежи всъщност на зомби система, част от ботнет, която чрез най-глупавия брутфорс и речникова атака си пробва често използвани комбинации от потребители и пароли ( напр. потребител root с парола 123456 )

За да не изпадате в неприятни ситуации, ето какво можете да направите:

  • ако е възможно - ограничете достъпа до определени потребители/хостове
  • махнете SSH достъпа на всички стандартни потребители (root, http, mysql, webmaster, administrator и т.н. ). Използвайте само потребители, които вие сте създали за отдалечен достъп.
  • преместете SSH сървъра си да слуша на нестандартен порт, а не на 22. Това няма да спре напълно опитите, но поне ще забави доста нападателите, тъй като трябва да правят пълен портскан на системата
  • ограничете IP адресите, които имат достъп до SSH сървъра с няколко прости iptables правила, например:
  • използвайте по-сигурни пароли, като задължително паролата НЕ трябва да съдържа потребителското име
  • ако имате възможност, инсталирайте инструмент от рода на SSHBlack - простичък скрипт, който вкарва IP адреса на атакуващия в iptables дроп правило след 4 неуспешни опита за логване. При мен същия скрипт, леко модифициран, пази и от брутфорс на ftp сървъра ми.
  • и последно - ако имате възможност, елиминирайте ssh достъпа като цяло.

Подобни статии:

  1. Хакната банка ? Нищо подобно !
  2. Измамнически DNS сървъри

Публикувано в Linux, Сигурност, ЧЗВ |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.