He recibido muchas solicitudes de autenticación ssh fallidas durante los últimos dos días, de varios proveedores de servicios. Parece que alguien está intentando romper mi computadora.
Estoy usando Ubuntu en una computadora portátil Dell, necesito tener sshd ejecutándose por motivos de trabajo, por lo que apagarlo no es una opción.
Bloqueé todos los ips por el momento, y paralicé el ataque. ¿Cuál es la mejor respuesta a tal situación?
Es muy común entre los servidores públicos o un host. Asumiré que su host es un servidor que utiliza IP pública, es decir, que se puede acceder desde cualquier lugar. Aquí hay algunas precauciones:
Cambiar puerto predeterminado: La idea ideal para este tipo de situación es mover el puerto predeterminado (22) a un puerto más alto. Puede hacerlo cambiando el archivo de configuración ubicado en '/ etc / ssh / sshd_config' de la siguiente manera,
$ vi /etc/ssh/ssh
Y haz el siguiente cambio,
# Port 22
Port 23415
Definir IP específica : siempre puedes definir una IP específica del host desde el cual usualmente ssh a tu computadora portátil y eliminar todas las demás solicitudes con IPTABLES con los siguientes comandos [aquí asumo que estás usando puerto 23415 en lugar de 22],
Drop IP está intentando conectarse en el puerto 22
sudo iptables -A INPUT -p tcp --dport 22 -j DROP
Lista blanca de IP: puede agregar varias IP.
sudo iptables -A INPUT -p tcp -s YOUR.IP.HERE --dport 23415 -j ACCEPT
sudo iptables -A INPUT -p tcp -s YOUR.Another.IP.HERE --dport 23415 -j ACCEPT
Soltar la solicitud de Otra IP:
sudo iptables -A INPUT -p tcp --dport 23415 -j DROP
Guardar nuevas reglas:
sudo iptables-save
Uso de la aplicación de seguridad SSH: Hay muchas aplicaciones de seguridad SSH disponibles como Fail2ban , Denyhost , Sshguard etc.
Lea otras preguntas en las etiquetas attacks ssh distributed-computing