防止暴力攻击ssh？

您使用什么工具或技术来防止对ssh端口的暴力攻击。我在安全日志中注意到，我有数百万次尝试通过ssh以各种用户身份登录。

它在FreeBSD上，但是我想它会在任何地方都适用。

这是Rainer Wichmann撰写的关于该主题的好文章。

它说明了实现这些方法的利弊：

• 强密码
• RSA认证
• 使用“ iptables”阻止攻击
• 使用sshd日志阻止攻击
• 使用tcp_wrappers阻止攻击
• 港口敲门

我使用fail2ban，它将在几次尝试失败后将IP锁定在可配置的时间内。

将此与密码强度测试（使用john（开膛手John））结合使用，以确保暴力攻击不会成功。

您可以做的一件小事就是使用诸如DenyHosts之类的东西：

http://denyhosts.sourceforge.net/

它使用内置的hosts.allow / hosts.deny阻止SSH滥用者。

• 更改使用的端口（如Trent所述）
• 需要加密密钥而不是密码。http://novosial.org/openssh/publickey-auth/
• 黑名单攻击者ips
• 将已知用户列入白名单，以防止意外将其列入黑名单。（如萨缪耶拉所说）

避免这些攻击的最简单方法之一就是更改sshd侦听的端口

克里斯指出，请使用加密密钥而不是密码。

补充一点：

• 尽可能使用白名单。

您确实需要访问多少个人或地点（具有浮动的公共IP）？

根据要维护的公共ssh主机的数量以及是否可以缩小常规连接条件的范围，这可能是一种更简单的可维护配置，以限制对某些外部主机的访问。

如果这对您有用，那么实际上可以简化您的管理开销。

除了其他好的建议，一个真正容易的事情是限制传入连接的速率。每个IP限制为每分钟3个连接：

iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

使用sshd_config中的“ AllowUsers”选项可确保仅一小部分用户可以登录。即使其他所有用户名和密码正确，也会被拒绝。

您甚至可以限制用户只能从特定主机登录。

例如，

AllowUsers user1 user2@host.example.com

这将减少搜索空间，并避免那些偶然被闲置或启用的旧用户（尽管当然应该禁用这些旧用户，这是阻止他们被用于基于SSH的条目的简便方法）。

这并不能完全阻止暴力攻击，但可以帮助降低风险。

对PF使用类似的东西：

表<ssh-brute>
在标签ssh_brute的快速日志中持久存储块，
将$ ext_if原始tcp传递到（$ ext_if）端口ssh调制状态\
（max-src-conn-rate 3/10，过载刷新全局）

端口敲门是将此类问题排除在外的非常可靠的方法。有点轻率，有时很烦人，但这绝对使问题消失了。

上下文很重要，但是我建议像这样：

• 由于您正在使用FreeBSD，请考虑运行PF防火墙并使用其可靠的连接速率限制功能。如果频繁连接，这将使您可以将蛮力发送者列入黑名单
• 如果必须从外界访问此框，请考虑使用PF rdr规则不允许流量进入端口22，而是将一些晦涩的端口重定向到该端口。意思是，您必须连接到端口9122而不是22。这虽然晦涩难懂，但可以避免门环
• 考虑仅转向基于密钥的身份验证，从而使字典攻击无用

除了 sherbang的限速建议之外，延迟的时间很重要。通过将3次登录尝试的组之间的延迟从2分钟增加到20分钟，进行超过3次登录尝试的不同IP地址的数量减少了，比较一台我的机器上两个星期的时间，从44次尝试到3次。这三个地址都没有尝试超过11小时。

非常有趣，但是auth.log对我来说更具可读性...

我只是不在乎。让他们在港口带走，他们不会用力一把钥匙。

安装OSSEC。它不仅监视重复登录，还将进入一个临时表，其中包含违规ip的iptables。最后，它将向您发送报告，说明详细信息。它记录了所有内容，这很好。Somone曾经尝试使用8000多个登录名进行登录。我解析了日志，得到了不错的用户列表；）