我正在运行 Gentoo Linux 服务器,并使用 Fail2Ban 来阻止脚本小子以及他们对我的 SSH 端口的无休止攻击。(是的,我知道我可以移动到不同的端口号,但这是工作,谁愿意这样做呢?:))
所以无论如何,这很有效,我抓住了很多试图闯入的人,并禁止了他们,但后来我注意到这个有趣的消息,还有很多人。
10月12日 18:00:57 SERVERNAME sshd[23265]: SSH:服务器;Ltype:版本;远程:216.177.200.29-46386;协议:2.0;客户端:libssh-0.1
在 5 分钟的时间窗口内,有超过 1000 个这样的请求,全部来自同一个远程 IP 地址。这是一次入侵尝试吗?如果是,那是什么类型的入侵?我尝试查找过,但无法明确知道这里发生了什么。
由于没有特定的登录尝试,我的 fail2ban 没有标记 IPTables 来阻止它。我只是想确保我不会暴露于 SSHD 守护进程中的某些已知漏洞。
答案1
似乎有人试图通过暴力破解或破解来破解您的密码或 SSH 密钥。需要注意的是,在某些情况下,SSHD 可能不会记录失败的登录尝试。此外,邮件列表中还讨论过远程暴力攻击在两小时内破解 SSH 密钥的可能性。
贾斯汀·梅森在他的博客上对此进行了很好的描述。
答案2
iptables -A 输入 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j 接受
iptables -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
试试这个,这样你就可以在 60 秒内丢弃来自同一 IP 的 4 个以上连接,丢弃该 IP 60 秒,但接受来自预先建立的连接的数据流。它不会阻止 IP,但会减慢尝试速度。