Выбор читателей
Популярные статьи
OpenSSH позволяет выполнять удаленное подключение к серверу, производить манипуляции с файлами и управлять системой. Сегодня хотим рассказать про лучшие методы, которые позволят увеличить безопасность системы на базе OpenSSH.
Если вашему серверу не требуется удаленное подключение по SSH, то обязательно отключите его. В таких системах как CentOS/RHEL делается это так:
Chkconfig sshd off yum erase openssh-server
Протокол SSH первой версии имеет проблемы с безопасностью, которые закрыты во второй версии. Поэтому, используйте вторую версию. Убедитесь, что в файле /etc/ssh/sshd_config указана опция Protocol 2 .
По умолчанию, все системные пользователи имеют возможность подключаться к системе по SSH. Рекомендуем ограничить SSH доступ в целях безопасности. Например, разрешить SSH для пользователей root, merion и networks:
AllowUsers root merion networks
С другой стороны, вы можете разрешить доступ всем пользователям, кроме указанных:
DenyUsers root merion networks
Важно указывать время, в течение которого, неактивная сессия будет терминирована (завершена). Это можно сделать следующими опциями:
ClientAliveInterval 300 ClientAliveCountMax 0
В данной настройке мы указали время бездействия равным 300 секунд (5 минут).
Дело в том, что данный файл содержит список хостов и пользователей. Если в данном файле содержится комбинация хоста и юзера, то данный пользователь сможет подключиться к системе по SSH без запроса пароля. Рекомендуем отключить эту «замечательную» фичу:
IgnoreRhosts yes
Так называемая Host-Based Authentication позволяет пользователю с определенного хоста подключаться к серверу. Отключаем:
HostbasedAuthentication no
PermitRootLogin no
Для каждого подключающегося сделайте баннер, в котором можно угрожать злоумышленникам, которые пытаются совершить несанкционированный доступ. За настройку баннера отвечает параметр Banner .
Сделайте доступ к 22 порту системы только через цепочку фаервол правил. Лучше всего, оставить доступ только изнутри LAN. Например, в Iptables можно дать доступ для 192.168.11.0/24:
A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IP – адрес, на котором необходимо ожидать подключения. Например, мы укажем порт 962 и IP – адрес 192.168.11.24
Port 962 ListenAddress 192.168.11.24
Используйте устойчивые к защите пароли. В сети множество инструментов, которые сгенерируют криптостойкий пароль онлайн, бесплатно и без смс:)
Бывают пользователи без паролей. Их доступ к SSH так же необходимо запретить с помощью опции:
Port 962 PermitEmptyPasswords no
Установите логирование событий в режим INFO или DEBUG – это позволит иметь расширенный контроль над системой:
LogLevel INFO
Нам жаль, что статья не была полезна для вас:(Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!
Одной из распространённых атак на службу SSH является атака методом перебора, когда удалённый атакующий бесконечно пытается залогиниться с различными паролями. Конечно, есть аргументы против аутентификации с помощью паролей для SSH, и есть альтернативные механизмы аутентификации, такие существующие варианты как аутентификация с публичным клюём или двух-факторная аутентификация сведут на нет атаку брут-форсингом. Не в даваясь в дискуссию о преимуществах и недостатках различных методов аутентификации, давайте рассмотрим ситуацию, когда необходима аутентификация паролем. Как вы защитите ваш SSH сервер против атак грубой силой?
fail2ban - это хорошо известный, с открытым кодом фреймворк по предотвращению вторжений для Linux, он мониторит различные лог-файлы системы (например, /var/log/auth.log or /var/log/secure) и автоматически задействуют различные способы защиты против выявленных подозрительных действий. На самом деле, fail2ban может быть очень полезен для защиты против атак по перебору паролей на SSH сервер.
В этом уроке я продемонстрирую как установить и настроить fail2ban для защиты SSH сервера против атак брут-форсингом с удалённых IP адресов .
Сейчас вы готовы для конфигурирования fail2ban для усиления вашего SSH сервера. Вам нужно отредактировать конфигурационный файл в /etc/fail2ban/jail.conf. Конфигурационный файл содержит секцию “DEFAULT”, где вы определяете параметры по умолчанию для всех сервисов, которые мониторятся, и специфичные для каждого сервиса секции, где вы определяете любые специфичные для сервиса джэйлы (например SSH, Apache и т. д.) для перезаписи параметров по умолчанию.
В секции джейлов определённых сервисов (где-то после секции ) вам нужно задать секцию , где вы зададите особые настройки для джэйлов SSH. Текущий бан IP адресов делается iptables.
Последующий пример в /etc/fail2ban/jail.conf, который содержит настройку джэйла “ssh-iptables”. Конечно, там могут быть и другие джейлы для разных приложений, в зависимости от ваших нужд.
$ sudo vi /etc/fail2ban/jail.local # разделённый пробелами список IP адресов, CIDR префиксов или DNS имён хостов # для обхода защиты fail2ban ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24 # количество секунд, на которое блокируется клиент bantime = 86400 # количество неудачных попыток, после которых происходит блокировка maxretry = 5 # количество секунд в течение которых накопительно фиксируются неудачные попытки findtime = 600 mta = sendmail enabled = true filter = sshd action = iptables sendmail-whois # для основанных на Debian дистрибутивов logpath = /var/log/auth.log # для основанных на Red Hat дистрибутивах logpath = /var/log/secure # специфичный для ssh порог максимальных попыток maxretry = 3
В соответствии с приведённой конфигурацией, fail2ban будет автоматически банить любые удалённые IP адреса, с которых поступило хотя бы 3 неудачных попытки за последние 10 минут. Однажды забаненный, IP нарушителя будет оставаться заблокированным в течение 24 часов. Уведомление об этом событии будет отправлено по почте.
После того, как конфигурационный файл готов, перезапустите службу fail2ban как показано ниже.
На Debian, Ubuntu или CentOS/RHEL 6:
$ sudo service fail2ban restart
На Fedora или CentOS/RHEL 7:
$ sudo systemctl restart fail2ban
Чтобы проверить, успешно ли запущен fail2ban, выполните команду fail2ban-client с аргументом “ping”. Если служба fail2ban запущена нормально, вы должны увидеть ответ “pong”.
$ sudo fail2ban-client ping Server replied: pong
Чтобы проверить, работает ли fail2ban, попробуйте войти на сервер SSH используя неверный пароль для симуляции брут-форс атаки. В то же время, проверяйте /var/log/fail2ban.log, который записывает все интересные события, которые происходят в fail2ban.
$ sudo tail -f /var/log/fail2ban.log
Согласно логу выше, fail2ban забанил IP адрес 192.168.1.8, поскольку выявил множественные ошибки в попытка залогиниться на SSH с этого IP адреса.
Джейл “ssh-iptables” в fail2ban использует iptables для блокировки IP адресов нарушителей, вы можете легко проверить бан, посмотрев текущие правила iptables как показано ниже.
$ sudo iptables --list -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-SSH (1 references) target prot opt source destination DROP all -- 192.168.1.8 0.0.0.0/0 RETURN all -- 0.0.0.0/0 0.0.0.0/0
Если вы хотите разблокировать IP адреса от fail2ban, вы можете также выполнить команду iptables:
$ sudo iptables -D fail2ban-SSH -s 192.168.1.8 -j DROP
В то время, как вы можете проверять и управлять списком заблокированных IP в fail2ban вручную с помощью команд iptables, как было показано, верным способом, на самом деле, является использование инструмента командной строки ail2ban-client. Этот инструмент позволяет вам управлять не только джэйлом “ssh-iptables”, но также любыми другими типами джэйлов fail2ban в унифицированным интерфейсе командной строки.
Для проверки статуса fail2ban (который покажет список активных в настоящее время джейлов):
$ sudo fail2ban-client status
Чтобы проверить статус конкретного джейла (например, ssh-iptables):
$ sudo fail2ban-client status ssh-iptables
Вышеприведённая команда покажет список забаненных IP адресов.
Для разблокировки конкретного IP адреса:
$ sudo fail2ban-client set ssh-iptables unbanip 192.168.1.8
Обратите внимание, если вы остановите fail2ban, все заблокированные IP адреса будут разблокированы. Когда вы перезапустите fail2ban, он найдёт список IP адресов нарушителей из /var/log/secure (или /var/log/auth.log) и перезабанит эти IP адреса, если не истекло время бана.
После того, как вы успешно протестировали fail2ban, последним шагов по задействованию fail2ban является автоматический запуск при включении питания сервера. На основанных на Debian дистрибутивах, автозапуск fail2ban включен по умолчанию. На основанных на Red Hat дистрибутивах, включите автостарт следующим способом.
На CentOS/RHEL 6:
$ sudo chkconfig fail2ban on
На Fedora или CentOS/RHEL 7:
$ sudo systemctl enable fail2ban
В этом уроке я продемонстрировал как установить и настроить fail2ban для защиты SSH сервера. Хотя fail2ban может смягчить атаку перебором паролей, пожалуйста помните, он не может защитить SSH сервера против сложных (распределённых) кампаний по брут-форсингу, когда атакующие обходят fail2ban используя тысячи подконтрольных ботам IP адресов.
Secure Shell можно найти повсюду. С момента выпуска в 1995 году, SSH получил широкое распространение как мощный протокол удаленного доступа для Linux.
Однако, как известно, большая сила - большая ответственность. Неправильно сконфигурированный SSH демон может быть больше угрозой, нежели помощью. В этой статье мы рассмотрим пять шагов по усилению безопасности SSH.
1. Отключаем root логин.
Самый простой шаг. Очевидно, что существует мало причин разрешения захода root через SSH. Отключить же такой доступ довольно просто и это позволит усилить безопасность.
Найдем /etc/ssh/sshd_config (возможно он находиться в другом каталоге, это зависит от дистрибутива). В нем определим место PermitRootLogin и заменим значение на "no":
PermitRootLogin no
Конечно, это не помешает никому вломиться в систему под обычным юзером, однако лишней преградой на пути возобладания системой все же послужит.
Прочитав все выше написанное и реализовав на практике, мы в результате получим ключи для авторизации на сервере. Убедившись, что все работает, можно запретить интерактивный ввод:
PasswordAuthentication no
ChallengeResponseAuthentication no
Используя этот Python-скрипт администратор может автоматические вносить хосты при неудачном логине в черный список, баня их навечно. Простейший способ установки:
Europa ~ # emerge -pv denyhosts
These are the packages that would be merged, in order:
Calculating dependencies... done!
app-admin/denyhosts-2.5 0 kB
Total size of downloads: 0 kB
europa ~ # emerge denyhosts
Документации по программе не очень много (если чего - есть, например ), однако все опции конфигурирования нормально описаны в конфигурационном файле.
Europa $ nano -w /etc/denyhosts.conf
Не думаю, что конфигурирование DenyHosts вызовет особые проблемы - достаточно внимательно прочитать конфиг.
После конфигурирования можно запустить программу демоном или через шедулер. В Gentoo демоном:
Rc-update add denyhosts default
Через cron, скажем каждые 10 минут:
Python /usr/bin/denyhosts -c /etc/denyhosts.conf
Вся радость DenyHost не только в блокировании хостов, пытающихся пробиться к вашему SSH серверу, но и в том, что можно синхронизировать свой "черный список" с серверами DenyHost. Таким образом создается коллективный список хостов, содержащий всех нападающих. Он предотвратит нападение в самом корне.
4. Изменяем номер порта.
Большинство попыток взлома идет от автоматических скриптов, сканирующих сеть на наличие SSH демонов. В подавляющем количестве случаев они пытаются вломиться на 22 порт, что только играет нам на руку. Изменив порт мы автоматически отсечем большинство попыток несанкционированного доступа.
В конфиге стоит поменять.
SSH позволяет создать безопасное подключение к серверу, однако чтобы работать правильно, сам сервис SSH должен иметь доступ к интернету. Это создает вектор атаки для потенциальных взломщиков, следовательно, SSH нуждается в дополнительной защите.
В целом любой сервис с доступом к сети является потенциальной целью. В логах этих сервисов вы можете заметить повторяющиеся, систематические попытки входа в систему – это brute force атаки, совершаемые пользователями и ботами.
Сервис fail2ban может смягчить атаки с помощью правил, которые автоматически меняют конфигурацию брандмауэра iptables на основе предопределенного количества неудачных попыток входа в систему. Это позволит серверу своевременно реагировать на несанкционированный доступ без вмешательства администратора.
Данное руководство поможет установить и настроить fail2ban на сервере Ubuntu 14.04.
Репозиторий Ubuntu предоставляет пакет fail2ban, потому его можно установить с помощью стандартного пакетного менеджера.
Обновите индекс пакетов и установите fail2ban с помощью этих команд:
sudo apt-get update
sudo apt-get install fail2ban
Теперь можно приступать к настройке утилиты.
Конфигурационные файлы fail2ban хранятся в каталоге /etc/fail2ban. Стандартные параметры можно найти в файле jail.conf.
Поскольку этот файл может быть изменен во время обновления пакета, не нужно редактировать его. Лучше скопировать его содержимое в другой файл и откорректировать параметры там. Чтобы эти два файла работали правильно, лучше всего оставить в новом файле только те параметры, которые нужно переопределить в файле jail.local. Все параметры по умолчанию будут читаться из файла jail.conf.
Скопируйте jail.conf и используйте его в качестве основы для файла jail.local. Для этого введите:
awk "{ printf "# "; print; }" /etc/fail2ban/jail.conf | sudo tee /etc/fail2ban/jail.local
После этого просмотрите jail.conf:
sudo nano /etc/fail2ban/jail.conf
Некоторые параметры можно обновить в этом файле. Параметры раздела будут применяться ко всем сервисам, которые поддерживает fail2ban (если только эти значения не переопределяются в конфигурационных файлах этих сервисов).
. . .
ignoreip = 127.0.0.1/8
. . .
Параметр ignoreip настраивает исходные адреса, которые fail2ban будет игнорировать. По умолчанию он пропускает любой трафик, поступающий с локальной машины. Вы можете добавить другие адреса, которые нужно игнорировать, поместив их в конец директивы ignoreip через пробел.
. . .
bantime = 600
. . .
Параметр bantime устанавливает время, в течение которого клиент будет заблокирован, если он не смог пройти аутентификацию. Его значение измеряется в секундах. По умолчанию установлено значение 600 секунд (10 минут).
. . .
findtime = 600
maxretry = 3
. . .
Следующие два параметра, на которые следует обратить внимание, — это findtime и maxretry. Вместе они определяют условия, при которых незаконные пользователи будут блокироваться.
Переменная maxretry задает количество попыток входа, а findtime – интервал времени, в течение которого пользователь должен пройти аутентификацию. Если клиент превысил любой из этих показателей, он будет заблокирован. По умолчанию сервис fail2ban блокирует клиентов, которые не смогли предоставить учетные данные 3 раза в течение 10 минут.
. . .
destemail = root@localhost
sendername = Fail2Ban
mta = sendmail
. . .
Параметры destemail, sendername и mta позволяют настроить оповещения по электронной почте. Параметр destemail определяет адрес электронной почты, который должен получать сообщения о заблокированных пользователях. Параметр sendername задает отправителя сообщения. Параметр mta определяет, какая почтовый сервис будет использоваться для отправки почты. Добавьте эти параметры в jail.local в раздел и установите соответствующие значения.
. . .
action = $(action_)s
. . .
Этот параметр настраивает действие fail2ban в случае блокировки. Значение action_ определено в файле немного до этого параметра. Действие по умолчанию заблокирует трафик злоумышленника до истечения времени бана путем перенастройки брандмауэра.
Если вы хотите настроить оповещения по электронной почте, добавьте или раскомментируйте элемент action в файл jail.local и измените его значение с action_ на action_mw. Если вы хотите, чтобы письмо включало соответствующие строки из логов, вы можете указать значение action_mwl. Если вы решили использовать электронные оповещения, убедитесь, что настройки почты их поддерживают.
Поддержка отдельных сервисов включается в специальных одноименных разделах. Например, параметры сервиса ssh можно указать в разделе .
Каждый из этих разделов можно включить, раскомментировав заголовок раздела в jail.local и изменив значение строки enabled на «true»:
. . .
enabled = true
. . .
По умолчанию поддерживается только сервис SSH, а все остальные сервисы отключены.
Эти разделы используют в качестве основы значения, установленные в разделе , и по мере необходимости корректируют их. Чтобы переопределить любые значения, добавьте раздел для соответствующего сервиса в jail.local и измените его значения.
Также здесь устанавливаются некоторые другие параметры. Параметр filter помогает определить, указывает ли строка в логе на неудачную попытку аутентификации; параметр logpath сообщает fail2ban, где находятся логи этого конкретного сервиса.
Значение параметра filter является ссылкой на файл с расширением.conf, расположенный в каталоге /etc/fail2ban/filter.d. Эти файлы содержат регулярные выражения, которые определяют, является ли строка в логе сообщением о неудачной попытке аутентификации. Эти файлы выходят за рамки данного мануала, потому что они довольно сложны, а параметры по умолчанию вполне подойдут в большинстве случаев.
Просмотреть фильтры можно в этом каталоге:
ls /etc/fail2ban/filter.d
Найдите файл, связанный с требуемым сервисом, и откройте его с помощью текстового редактора. Большинство файлов достаточно хорошо закомментированы, и вы сможете ознакомиться со сценарием защиты сервиса. Большинство этих фильтров имеют соответствующие разделы в файле jail.conf (по умолчанию они отключены). Их можно включить в файле jail.local, если это необходимо.
Предположим, у вас есть сайт, который обслуживается с помощью Nginx. Логи веб-сервера постоянно пополняются неудачными попытками входа. Утилита fail2ban может использовать файл nginx-http-auth.conf, чтобы постоянно проверять /var/log/nginx/error.log.
Почти все необходимые для этого параметры уже есть в разделе в файле /etc/fail2ban/jail.conf. Вам нужно просто раскомментировать этот раздел в файле jail.local и указать значение true в параметре enabled.
. . .
enabled = true
. . .
После этого нужно перезапустить fail2ban.
Теперь вы знаете основы работы fail2ban. Попробуйте настроить политику автоматической блокировки для сервиса SSH и Nginx. Также нужно, чтобы инструмент fail2ban отправлял сообщения по электронной почте в случае блокировки IP-адреса.
Для начала установите необходимое ПО.
Вам понадобится nginx, так как fail2ban будет отслеживать его журналы, и sendmail для отправки уведомлений. Также нужен пакет iptables-persistent, чтобы сервер сохранял и автоматически загружал правила брандмауэра при загрузке сервера. Все эти пакеты можно скачать из стандартных репозиториев Ubuntu:
sudo apt-get update
sudo apt-get install nginx sendmail iptables-persistent
Остановите сервис fail2ban, чтобы настроить базовый брандмауэр.
Базовый брандмауэр должен поддерживать установленные соединения, а также трафик, генерируемый самим сервером, и трафик, предназначенный для SSH и портов веб-сервера. Весь другой трафик будет блокироваться. Правила выглядят так:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
sudo iptables -A INPUT -j DROP
Эти команды реализуют вышеуказанную политику. Чтобы просмотреть текущие правила брандмауэра, наберите:
sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j DROP
Сохраните правила брандмауэра, чтобы они не потерялись после перезагрузки.
sudo dpkg-reconfigure iptables-persistent
Перезапустите fail2ban:
sudo service fail2ban start
Запросите правила брандмауэра:
sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A fail2ban-ssh -j RETURN
Каждая цепочка теперь имеет свою политику по умолчанию. Также в брандмауэре есть пять базовых правил. Красным выделена структура fail2ban: этот инструмент уже применяет правила блокировки SSH. Иногда эта структура не отображается сначала, так как fail2ban может не добавить структуру до первой блокировки.
Теперь нужно добавить настройки fail2ban в файл jail.local:
sudo nano /etc/fail2ban/jail.local
Здесь можно установить более строгий интервал времени блокировки. Найдите и раскомментируйте заголовок . В этом разделе измените параметр bantime так, чтобы сервис блокировал клиента на полчаса:
. . .
bantime = 1800
. . .
Также необходимо настроить уведомления. Сначала найдите параметр destemail, который также должен находиться в разделе . Введите адрес электронной почты, который вы хотите использовать для сбора этих сообщений:
. . .
destemail = [email protected]
. . .
В sendername укажите любое удобное значение. Рекомендуется использовать здесь описательное значение, которое почтовый сервис сможет легко отфильтровать.
Затем нужно исправить значение action. Можно установить значение action_mw, которое блокирует клиента, а затем отправляет отчет «whois». Значение action_mwl делает то же самое, но также отправляет в сообщении соответствующие строки лога.
. . .
action = %(action_mwl)s
. . .
В разделе SSH в директиве maxretry можно изменить количество неудачных попыток аутентификации. Если вы используете нестандартный порт (не 22), укажите его в параметре port. Как говорилось ранее, этот сервер уже включен.
Затем найдите раздел nginx-http-auth. Раскомментируйте заголовок и измените значение параметра enabled на «true».
. . .
enabled = true
. . .
Это все, что нужно сделать в этом разделе, если веб-сервер использует стандартные порты и его логи хранятся в стандартном каталоге.
Сохраните и закройте файл.
Затем перезапустите сервис fail2ban. Иногда даже лучше остановить его, а затем запустить снова.
sudo service fail2ban stop
sudo service fail2ban start
На загрузку всех правил брандмауэра может потребоваться несколько минут. Иногда правила не добавляются до тех пор, пока не будет заблокирован первый клиент. Через некоторое время вы сможете проверить новые правила:
sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-nginx-http-auth
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-nginx-http-auth
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A fail2ban-nginx-http-auth -j RETURN
-A fail2ban-ssh -j RETURN
Красным выделены строки, созданные политикой fail2ban. Сейчас они просто направляют трафик на новые, почти пустые цепочки, а затем пропускают поток трафика обратно в цепочку INPUT.
Правила блокировки будут добавлены в эти цепочки.
Теперь можно протестировать правила, подключившись с другого сервера, у которого нет учетных данных на сервере fail2ban.
Попробуйте создать SSH-подключение к серверу с помощью несуществующих учетных данных:
ssh blah@fail2ban_server_IP
Введите случайный набор символов в качестве пароля. Повторите несколько раз. В какой-то момент fail2ban запретит доступ и выведет сообщение «Permission denied».
Вернитесь на первый сервер и просмотрите новые правила iptables:
sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-nginx-http-auth
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-nginx-http-auth
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A fail2ban-nginx-http-auth -j RETURN
-A fail2ban-ssh -s 203.0.113.14/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
Новое правило выделено красным. Оно блокирует трафик от IP-адреса второго сервера к порту SSH. Вскоре вы получите уведомление о блокировке клиента.
Теперь вы знакомы с основами fail2ban и можете создать базовую конфигурацию этого инструмента.
SSH - это протокол используемый для обеспечения безопасности и шифрования передачи данных в сети. Он широко используется в кругу Linux администраторов для управления удаленным серверомю. Сервер подключение к сети Интернет очень часто подвергаются атакам на службу SSH с целью получить доступ к серверу. Самая расптространенная это подбор пароля пользователя с правами адмиристратора. В этой инструкции мы рассмотрим базоые рекомендации для обеспечения безопасности SSH подключения.
Ваш сервер может подврегнутся атаки со стороны злоумышленников пытающихся подобрать пароль к серверу по SSH , чтобы снизить риск взлома - рекомендуем устанавливать пароли к учетным записям сервера соответствующие следующим параметрам:
Сильный пароль не только защитит от взлома по SSH протоколу, но и в целом улучшит защиту сервера.
Дополнительной защитой Вашего сервера будет использование ключа для подключения к серверу по SSH , генерировать ключ нужно на компьютере/сервере с которого будете подключаться:
Как создать SSH ключ на Windows ОС :
Чтобы создать ключ в Linux наберите команду:
Ssh-keygen -t rsa
Чтобы установить этот ключ на сервер к которому Вы будете подключаться наберите команду:
Ssh-copy-id -p 22 [email protected]
Если всё сделали правильно то теперь Вы можете подключаться к серверу по ключу, при этом Вам не придется каждый раз вводить пароль.
Стандартно SSH служба запущенная на сервере слушает 22 Порт для подключения/передачи данных, этим могут воспользоваться злоумышленники рассчитывая на то что большинство пользователей не меняют стандартный порт для подключения к серверу. Поэтому мы изменим порт, тем самым - ещё раз уменьшив риск взлома нашего сервера.
Для этого откроем конфигурационный файл SSH на сервере:
Sudo nano /etc/ssh/sshd_config
Найдем в нём закомментированную строку такого вида:
# Port 22
Удалим символ # - чтобы убрать опцию комментария и изменим 22 на любые цифры начиная с 11060 и по нарастанию, для примера будем использовать 11 060 , теперь строка должна выглядеть так:
Port 11060
Сохраните конфигурацию "Ctrl +O " и выходите из редактора "Ctrl +X ".
Нужно перезагрузить SSH службу - чтобы принялись новые настройки, выполним команду:
Sudo service sshd restart
Таким образом мы поменяли порт для подключения, с этих пор - чтобы подключиться к серверу нужно указывать нестандартный порт опцией -p 11060 , например:
Ssh -p 11060 [email protected]
SSH подключение можно лимитировать для отдельных учетных записей, например если на сервере имеется три учетных записи: admin , sergey , alex - у Вас есть возможность разрешить удаленное подключение только для некоторых из них. Для этого откройте конфигурационный файл SSH :
В этом файле спуститесь стрелочками до последней строки и добавьте новую с таким содержанием:
AllowUsers admin alex
Сохраните конфигурацию "Ctrl +O " и выходите из редактора "Ctrl +X ".
Перезагрузите службу SSH :
Sudo service sshd restart
Этим самым Вы разрешили удалённый доступ для пользователей admin и alex , в то время как пользователь sergey удаленно подключиться уже не сможет.
По стандарту SSH работает в режиме версии 1, эта версия устарела и имеет множество уязвимостей но для обеспечения лучшей безопасности рекомендуем переключить работу в режим версии 2. Для этого откройте конфигурационный файл SSH :
Sudo nano /etc/ssh/ssh_config
Найдите строку:
# Protocol 2
Удалите символ # - чтобы убрать опцию комментария и задействовать эту строку, дожно получиться так:
Protocol 2
Сохраните конфигурацию "Ctrl +O " и выходите из редактора "Ctrl +X ".
Перезагрузите службу SSH :
Sudo service sshd restart
По умолчанию SSH служба запрещает подключаться пользователям без паролей, но возможно у Вас на сервере эта опция отключена, поэтому откройте конфигурационный файл SSH :
Sudo nano /etc/ssh/ssh_config
Найдите строку PermitEmptyPasswords и убедитесь что стоит значение "no ".
PermitEmptyPasswords no
Чтобы служба SSH вела журнал неудачных подключений с указанием IP - адресов, откройте конфигурационный файл SSH :
Sudo nano /etc/ssh/ssh_config
Найдите строку LogLevel и вместо INFO укажите VERBOSE , строка должна получится так:
LogLevel VERBOSE
Сохраните файл "Ctrl +O " и выйдите из редактора "Ctrl +X ".
Перезагрузите службу SSH :
Sudo service sshd restart
Можно проверить, вводим команду:
Cat /var/log/secure
Система выведит нам информацию, примерно такую:
Jun 21 13:06:28 centos sshd: Failed password for root from 118.212.143.47 port 48263 ssh2
Тоесть по этой записи мы видим что была неудачная попытка проникновения на сервер с указанного адреса.
Спасибо за внимание, на этом всё.
Статьи по теме: | |
Методические рекомендации по публикации открытых данных государственными органами и органами местного самоуправления и технические требования к публикации открытых данных
· Igor Zhuravlev · Igor Zhuravlev, Andrey Kurosh, Alexey Chumachenko,... Как открыть файл мод. Расширение файла MOD. Дополнительная информация о формате MOD
Прежде, чем рассказать о конвертере MOD в AVI, давайте попробуем... Настройка и калибровка джойстика в Windows
[ 198K ] Программа для проверки осей и кнопок джойстика (сайт автора:... |