Defensa para ataques de fuerza bruta a ssh

Navega tus respuestas
0

En algún momento en el pasado tuve un pequeño servidor web (físico). Desde el día 1 hubo ataques de fuerza bruta a ssh.

Lo busqué un poco y configuré iptables para bloquear las IP que intentan conectarse a ssh más de dos veces en un período de 2 minutos. Esto condujo a ataques de fuerza bruta distribuidos desde rangos de direcciones IP de puta.

Finalmente, resolví mi problema permitiendo que solo una computadora en la que tenía una cuenta se conectara a mi ssh. Sin embargo, la pregunta sigue siendo. Si el inicio de sesión solo con claves es por cualquier motivo inconveniente, ¿cómo puede uno defenderse contra los ataques de fuerza bruta a ssh?

    
pregunta tst 06.06.2017 - 16:59
fuente

1 respuesta

5

Las mejores defensas que he encontrado para la máquina host son estas:

  1. Deshabilitar el inicio de sesión de administrador
  2. Deshabilite el inicio de sesión de contraseña para usuarios, solo claves RSA, si necesita más seguridad, consulte ECDSA.
  3. Deshabilite ICMP si puede (considerando que es un servidor web ...)
  4. Las reglas UFW e IPTable hacen lo que usted especificó y se aseguran IPtables está registrando los incidentes.
  5. Fail2ban: instalar, configurar, etc.
  6. Denyhosts: instalar, configurar, etc.
  7. Instale logwatch con salida detallada para mantener una vista limpia de sus registros en un momento aviso.

Las reglas de red / enrutador pueden permitir una lista blanca que, si se implementa correctamente, es muy efectiva.

    
respondido por el Joshua Faust 06.06.2017 - 17:46
fuente

Lea otras preguntas en las etiquetas

¿Puede el SO protegernos de la CPU de puerta trasera? [cerrado] ¿Es normal que un comerciante reclame que una transacción en línea está presente en la tarjeta?