El problema con su solución propuesta es que no confío en la lista negra de IP de otra persona que no puedo verificar de forma independiente de alguna manera.
Digamos que existe un sistema en el que puede informar a una base de datos común de servidores que ejecutan scripts que intentan romper en ssh con nombres de usuario / contraseñas comunes.
Los administradores del sistema envían partes de registros como /var/log/auth.log
:
Feb 4 09:15:04 quarkonia sshd[12414]: Invalid user webadmin from 129.2.145.XXX
Feb 4 09:15:04 quarkonia sshd[12414]: pam_unix(sshd:auth): check pass; user unknown
Feb 4 09:15:04 quarkonia sshd[12414]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.student.umd.edu
Feb 4 09:15:07 quarkonia sshd[12414]: Failed password for invalid user webadmin from 129.2.145.XXX port 39505 ssh2
y luego la dirección IP 129.2.145.XXX se agrega a la lista negra común. Pero sería bastante trivial enviar registros falsos con las direcciones IP de los usuarios que está intentando hacer DoS; evitar que los usuarios legítimos inicien sesión usando ssh en los servidores que se suscriben a esta lista negra.
Esto es ligeramente diferente a decir que informar a hacer un whois
en 129.2.145.XXX
OrgAbuseHandle: UARA-ARIN
OrgAbuseName: UMD Abuse Role Account
OrgAbusePhone: +1-301-405-8787
OrgAbuseEmail: [email protected]
OrgAbuseRef: http://whois.arin.net/rest/poc/UARA-ARIN
para encontrar el contacto abusivo y decir que la dirección IP 129.2.145.XXX parece ejecutar scripts que intentan entrar en las máquinas a través de ssh.
Un administrador del sistema puede analizar el problema, posiblemente (a) encontrando un sistema comprometido bajo el control de un pirata informático remoto (y luego eliminar el malware; por ejemplo, reinstalar el sistema operativo), (b) un script para niños que no lo hace No sé qué están haciendo al tratar de ingresar en sitios aleatorios (y amenazar con acciones legales para detener al niño) o (c) nada después de una investigación rápida e ignorar la falsa alarma.
Hay listas negras de los bloques de direcciones IP asignadas a países donde esto es más rampante (China, Rusia, Nigeria , Europa del Este) y es posible que nunca tenga que iniciar sesión en su servidor. Personalmente, ejecutaría whois en todos ellos para volver a verificar, si tuviera que hacer este método; y asegúrese de que esté bien para que su sitio web / servidor ssh bloquee todo el tráfico de esos países; y no se preocupe por el raro evento de que los bloques de IP se reasignen a un región diferente .
Pero simplemente tiendo a bloquear el número de los Usuarios Permitidos en ssh a uno, cambiar el puerto ssh (sí, seguridad por oscuridad) a otra cosa por debajo de 1023 (por lo que solo la raíz podría controlar el puerto), evitar el escaneo del puerto con un psad
, mitigó los ataques automatizados con fail2ban
y usando una frase de contraseña complicada (normalmente a través de la clave ssh).