我的服务器上收到大量来自不同 IP(使用不同用户名)的 SSH 连接尝试。每秒 1 到 5 次。这看起来像是暴力攻击。我该怎么做才能防止这种情况发生?封锁 IP?更改 SSH 端口?还是其他什么?
谢谢!
答案1
DenyHosts 软件包是免费提供的,它可以阻止“机器人”尝试对您的 ssh 端口进行重复攻击。
http://denyhosts.sourceforge.net/
非常棒的阻止它们的软件。
注意:它也默认包含在许多发行版中。
答案2
- 您可以安装 fail2ban。它的作用正是阻止暴力破解。它也可以与其他服务器(如 http/ftp/etc)配合使用。
- 您可以手动阻止 IP,但这只是一个临时解决方案。
- 您可以按照您的建议更改 SSH 端口。除非要求您在标准端口上运行它,否则这是一个非常好的主意。大多数攻击者不会花时间找出您是否在运行公共 ssh 服务器以及在哪个端口上运行,除非攻击专门针对您。
答案3
更改 ssh 端口可以很好地解决这个问题。从来没有遇到过任何问题(一旦有这么多机器使用默认端口,暴力破解者扫描范围的成本就太高了)。
答案4
你可能会发现http://www.snowman.net/projects/ipt_recent/对此很有用-你可以做这样的事情:-
iptables -A INPUT -m recent --rcheck
--seconds 60 -j DROP iptables -A INPUT -i eth0 -d 192.2.0.1 -m recent --set -j DROP