Как защититься от SSH атак?

Question

[Urukhayy]

Установил fail2ban, не очень помогает, все равно VPS атакуют. Порт тоже менял.

Answer 1

[АртемЪ]

А что вы собственно подразумеваете под защитой?
Вам нужно чтобы атаки полностью прекратились? Если так, то единственный способ - отключить доступ по SSH.

Если же вам нужно чтобы атаки не увенчались успехом, то собственно чем плох fail2ban ?

Comments

[Urukhayy]

Fail2ban как-будто нет. Я установил, в результате не было эффекта. Пришлось менять порт 22 на другой. P.S. Защита от брута пароля root.

[O Di]

Urukhayy: вообще-то одна из основополагающих рекомендаций по защите от атак это смена порта, поэтому неправильно говорить "пришлось менять", его нужно было поменять. :)

[АртемЪ]

Urukhayy: А логи смотрели, баны то собственно были? Т.е он не банил атакующих или атаковали с многих адресов? Какой диапазон бана ставили? Рута вообще не стоит через SSH пускать, только простых пользователей, если надо после входа повышать привилегии. Почему пароль а не ключ?

[АртемЪ]

Oleg Di: Не согласен с вами.
Не вижу большого смысла от смены порта.

[Salavat Sharapov]

Oleg Di: Согласен с Вами, только вот у некоторых хостеров, хостеровский бот, который конектится к VDS или VPS, чтобы снять бекапы. При смене порта, естественно бекапов уже не будет. Например, у ангелов так.

[Urukhayy]

Артем: Пожалуйста по подробнее про просмотр банов и пропуск "рута". Я авторизуюсь под root.

[Urukhayy]

Артем: И что за ключ?

[АртемЪ]

Urukhayy: habrahabr.ru/post/127521

[АртемЪ]

Urukhayy: По поводу просмотра банов -
fail2ban это программа которая контролирует попытки авторизации на порту и в случае нескольких неудачных попыток блокирует доступ с данного адреса на некоторое время. Количество попыток и время указываются в настройках, так же программа ведет лог(если вы разрешили), и показывает когда кого и за что забанила, и на сколько.
Т.е ее мало установить, ее надо еще и настроить, чтобы она знала что контролировать, и проверить как она работает. Только тогда будет толк.

По поводу запрета root-
Идете в конфиг демона ssh, ищете там PermitRootLogin и меняете значение yes на no.
В итоге пользователь root по ssh зайти не сможет, вход возможен только обычным юзером.
Подключаетесь обычным юзером и работаете, а ежели надо сделать что то требующее рута, то просто повышаете привилегии до рута перед выполнением конкретного действия.

[Алексей Ямщиков]

Urukhayy: "И что за ключ?" ключ для авторизации. Вы подключаетесь используя не логин/пароль, а сгенерированный вами закрытый/открытый ключ. На сервере укладываете открытый (публичный) ключ, а сами ходите через указания закрытого. Быстро, просто, безопасно. А вообще гугл всё про это знает гораздо больше.

Answer 2

[Дмитрий]

Главное: Вход _только_ по ключам.
Потом уже можно fail2ban, ограничить доступ по определенным IP, сменить порт.
Ну и это всегда так, если ssh или, например, asterisk висит наружу, сразу набегут боты.

Answer 3

[n1mda]

а если разрешить доступ только с 1-3 своих адресов? или использовать port-knoking?

Answer 4

[xmoonlight]

port-knoking + IP страны

Answer 5

[Владимир]

надежный пароль(20+символов) + fail2ban или csf должно быть достаточно

Comments

[Urukhayy]

Как правильно настроить fail2ban?

[Владимир]

Urukhayy: зависит от ОС в debian сразу работает из коробки, в gentoo может надо и подопиливать конфиги.
что нужно настроить в любом случае - в jail.conf прописать ignoreip (доверенные ипы)
ну и по желанию поправить bantime и maxretry, если все работает этой настройки для защиты ssh достаточно.

[Urukhayy]

Владимир: Для CentOS что важно изменить в конфиге?