我最近注意到我的 Centos 8 Stream 工作站上有很多失败的 ssh 登录尝试,我分析了日志,发现来自 9326 个不同 IP 地址的超过 300000 次失败的登录尝试。我想知道如何阻止这么长的主机列表,而不禁用 sshd.conf 中的passwordAuthentication。
我可能无法使用firewalld 阻止IP 列表,也无法使用/etc/hosts.deny 文件,因为TCP Wrappers 软件包已被弃用。https://access.redhat.com/solutions/3906701
您有什么想法如何解决这个问题吗?
答案1
我强烈建议更改默认
sshd
端口。它不仅可以省去将各种 IP 地址列入黑名单的麻烦(其中一些您自己可以在旅行时进行连接),还可以让您摆脱登录尝试失败的困扰。使用低于 1024 的端口是一个好主意,只是为了确保没有本地非 root 应用程序可以偷偷地开始侦听。另一个好主意是使用
knockd
(https://github.com/jvinet/knock)仅当您通过探测某些端口正确敲击设备时才允许打开某些端口。