Захист своїх серверів від брутфорса один з найважливіших і фундаментальних аспектів всієї безпеки. Якщо вам цілодобово перебирають комбінації логін-пароль, то не за горами той день, коли хоч що то так підберуть. Для цього потрібно обмежити кількість спроб здійснити в певний період. Мені подобається наступна конфігурація. Користувач раз в 15 хвилин може встановити коннект з сервером на SSH порт. Тільки після закінчення цього часу він може це зробити ще раз. Тобто навіть особливо не важливо, правильний чи ні був вказаний пароль. Система позначає його пакети для себе. І якщо спроба повторюється - йому буде відмовлено.
Тепер трохи вдосконалюємо нашу схему.
Насамперед включимо так звану «захист від дурня» - переважили SSH-сервер на інший порт. Наприклад на 987
Для цього необхідно всього лише в конфігураційному файлі / etc / ssh / sshd_config знайти рядок
і замінити 22 на потрібний порт. У нашому випадку на 987. Після цього для застосував налаштувань потрібно перезапустити демон SSH
Пол справи зроблено. Поїхали далі.
В офісі, звідки я працюю з сервером, зовнішній статичний IP. Це допоможе нам в ідентифікації. Потрібно пояснити фаєрвол, що ми хороші і нас було б непогано пускати завжди. Додамо спочатку постійний дозвіл з наших офісних IP. Для цього в файлі / etc / sysconfig / iptables додамо наступні рядки.
Це правило дозволить нам пропускати трафік з нашої мережі постійно. Незалежно від кількості підключень.
Далі серйозніше. Решта трафік йде на SSH, що не потрапив під ці правила буде позначатися і Залогуватися. На підставі логів і буде відбуватися блокування.
параметр -seconds відповідає за час, на яке буде блокуватися возможнсть установки з'єднання.
-hitcount вказує починаючи з якого необхідно відмовляти в з'єднанні.
Як виявилося, нічого складного.
Тепер потрібно тільки перечитати правила. Я особливо не переймаюсь і просто рестарту службу
Так само буде цікаво:
Навігація по публікаціям