因此,我出于好玩,向全世界开放了 SSH,一些机器人已经锁定了我的服务器(尝试通过密码登录,但没有成功)。但这当然会填满日志。我尝试过使用 DenyHosts,但不知何故它并没有真正起作用,所以我想,“为什么不使用蜜罐呢?”
问题是,我想允许良好的登录,同时将其他所有人发送到蜜罐。
有没有什么办法可以过滤掉正确的登录信息到真正的 SSH 服务器,而将其他人留在蜜罐中?
答案1
如果您想允许合法的 SSH 登录,同时禁止(通过蜜罐)虚假登录,我会改变策略。
将 SSHD 放在另一个端口上,例如 2323 或其他奇怪的端口,并将连接转发到该端口。理想情况下,您有一台单独的机器,因此您可以告诉路由器将端口 2323 转发到内部机器 XYZ 端口 22。
打开22端口,以便转发到你的蜜罐机器ABC的22端口上。
如果可能的话,请将你的网络设置为蜜罐位于远离合法网络系统的 DMZ 中。否则,你就会自找麻烦。
答案2
使用像 fail2ban 这样的工具作为起点,您可以对那些试图暴力破解的用户和合法用户区别对待。
通常fail2ban会拒绝连接,但是我猜修改它以将连接重定向到蜜罐并不难。
棘手的部分实际上是主机密钥。一方面,出于安全原因,您不希望蜜罐访问您的主机密钥。但另一方面,您不希望攻击者注意到他们被引导至不同的 SSH 服务器。