我目前有 3 台提供 SSH 服务的服务器正在遭受暴力攻击。攻击来自多个来源,或者每次尝试时都会更改 IP。
我需要帮助来阻止当前的攻击并保护/防止未来的攻击。
我已经按照(快速)本指南在一台机器上设置了 fail2ban:如何在 Ubuntu 14.04 上使用 Fail2Ban 保护 SSH但这样做并没有带来任何改善。
请帮忙,我真的需要帮助,因为每台机器上都运行着敏感服务,这些服务不能关闭,而这些攻击正在消耗机器的资源。
提前致谢,致以最诚挚的问候。
附言:我知道关于这个主题有几个问题/答案,但找不到任何合适的答案来帮助我......
答案1
你可以将 SSH 端口改为非标准端口,然后丢弃所有进入 SSH 端口的数据包22
。这样攻击者的连接尝试都会超时,导致他们每次尝试都要花费更多时间。
如果您使用一些自动脚本通过 SSH 连接到您的服务器,那么您需要重新配置它们。
SSH 端口配置如下/etc/ssh/sshd_config
。
但是,如果攻击者对您的服务器进行端口扫描,他们就会发现新的端口。
如果您不是从任何地方访问服务器,那么您只允许使用此服务器的 IP 地址,并丢弃来自所有其他 IP 地址的数据包。
答案2
访问我的网站并查看本教程。不,我不会在这里粘贴我的教程,因为它完全是胡说八道。在教程中,我解释了如何阻止超过 26 万个不良 IP 地址。
Sysadmin - Linux 的管理、安全和强化 - 使用 iptables 和 Firewalld 的阻止列表
另外本教程:fail2ban – 安装和配置
还有一个值得一看的地方,它解释了如何使用 Cloudflare 以及如何为 SSH 生成 RSA 密钥。我在 sshd_config 中完全禁用了密码登录