如果脚本尝试使用常用帐户名列表通过 SSH 进行登录,或者尝试为“root”或“mail”(或类似)输入多个密码,这是否仍被视为“端口扫描”?我希望找到一种方法来阻止这些行为,但我不知道该搜索什么。
当我想到这个术语时,port scan我会想到使用 NMAP(或同等工具)来查找 iptables 中打开的内容。只是好奇这是否属于同一类别。
我的一些系统每天记录几千条信息。这很烦人。
系统都是CentOS/RHEL。
编辑:iptables“限制”看起来非常有希望。最后我可能必须为所有有效流量设置 VPN,并在公共服务器上使用类似“fail2ban”的东西。
答案1
您在这里需要的搜索词可能是“阻止失败的 ssh 登录尝试”或“阻止暴力破解 ssh”甚至“停止恶意 ssh 登录”。
一个非常流行的阻止这些的工具是失败2ban。它可以监视您的日志中是否存在失败的 SSH 登录尝试,并在一定时间内多次失败后阻止有问题的 IP。
增强 SSH 安全性的一些其他技巧:
- 如果尚未禁用直接 root 登录,请将其禁用。如果您希望确保服务器完全安全,这是您应该真正执行的基本操作之一。
- 禁用密码验证,改用公钥验证。另一个要点。如果密码无法帮到你,那么无论他们如何猜测有效密码都毫无意义。此外,如果你在客户端使用密钥管理器,使用密钥对登录会非常方便。
- 使用非标准端口。您可以使用 2222 之类的端口,或者最好使用更不显眼的端口。根据我的经验,这会导致登录失败的次数大幅下降。尽管正如其他人在评论中指出的那样,您应该记住,开放端口仍然很容易通过端口扫描被发现,这对合法用户登录来说很不方便。
- 使用 fail2ban 阻止失败的尝试。我建议您准备一些 B 计划,以防您不小心阻止了自己。如果您能够从其他 IP 再次尝试,则可以解除对自己的阻止。
- 实施端口敲击。这可能有点过头了,但如果实施,它可以将您的登录失败次数降至零。对于想要登录的合法用户来说,这可能非常不方便。每次想要登录时,您都必须经历执行秘密敲门的繁琐过程。忘记用智能手机登录吧。
答案2
这属于暴力攻击的范畴。
可以iptables使用--seconds和--hitcount标志有效地限制每秒的尝试次数,从而防止这些情况发生。这样做的唯一缺点是攻击者可以调整攻击速率以不触发规则,但通常攻击并没有得到很好的监控。
如果您还没有禁用 root 登录并使用 SSH 密钥,您也应该禁用它们。这基本上使攻击变得毫无意义。
答案3
您可能要搜索的词条是“ssh 暴力破解尝试”。
虽然更改 SSH 端口不会增强网络的安全性,但它会提醒您有恶意用户以您的机器为目标,而且比偷懒的“在端口 22 上尝试 root:root”脚本更有针对性。我个人在我的服务器上使用此方法,以使我的日志相对安静。
答案4
不,尝试连接帐户,以及主动尝试随机密码,远远超出了检查是否有人在监听特定端口的范围。即使连接以获取横幅(例如 Web 服务器)也可能被视为不仅仅是“端口扫描”。