Ограничение SSH по IP?

Question

[Оптимус Пьян]

В /etc/hosts.deny выставил
SSHD: ALL
В /etc/hosts.allow пока ни одного хоста не разрешил
Потом сделал /etc/init.d/ssh restart

Подключаюсь к SSH - пускает!
Перезагрузил сервак, повторил вход - пускает!

Что я делаю не так?

Answer 1

[Эргил Осин]

Пишите заглавными буквами.
Вот что вы делаете не так.
sshd: ALL
а не
SSHD: ALL
напишите

А, вообще, закрывайте iptables, зачем городить огород с host.allow/host.deny?

Comments

[Оптимус Пьян]

И всё равно меня опять пускает по SSH )) Думаю, это повод разобраться в iptables, просто я с ними раньше не работал никогда...

[Эргил Осин]

Дмитрий: очень странно, но я писал по памяти, мог и ошибиться. Вообще, что бы сделать быстро можете использовать AllowUsers marrk2@8.8.8.8, в sshd_config, если мне память не изменяет, но лучше разберитесь с iptables, там все будет тупо

что-то типа

iptables -I INPUT -p tcp -s YourIP --dport 22 -j ACCEPT
iptables -P INPUT DROP

разрешаем на вход по 22 порту по протоколу tcp с вашего IP, дропаем все остальное.
соответственно при таких правилах будет только ssh и только с вашего IP.
Для других портов можете прописать другие разрешения

iptables -I INPUT -p tcp -s YourIP --dport 22 -j ACCEPT
iptables -I INPUT -t tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
iptables -P INPUT DROP

Разрешит еще заход на 80ый порт по tcp для всех(вдруг у вас там веб-сервер).
Обратите внимание, что сначала надо разрешающие правила писать, потом последним делать DROP
Почитайте доки по IPTABLES, там увидите, что при -I можно указывать каким правилом вставлять, то есть если сделать вот те которые я предложил, а потом надо еще добавить вход для ftp, то пишите -I INPUT 3 и оно пойдет третьим правилом.

[Оптимус Пьян]

Эргил Осин: Благодарю! А порт SSH на более высокий сменить что бы не сканировали где можно? там же в iptables?

[Эргил Осин]

Дмитрий: в sshd_config. Но я не вижу смысла менять порт. Собственно я и ограничения по IPшнику не считаю нужными.
1. Запрет парольного входа, вход только по ключу
2. fail2ban для тех кто трижды не смог зайти

Тем самым вы спокойны по поводу брутфорса и лишней долбежке от ботов не будет, после третьего раза их fail2ban отправит курить.

[Оптимус Пьян]

Эргил Осин: а как сделать вход по ключу? (можно ссылку или намекнуть) да говорят сейчас ботнеты подбирают - 2 попытки и меняют ip так что fail2ban не всегда срабатывает...

[Эргил Осин]

Дмитрий: ботнет не может подобрать ключ. Пусть хоть застрелится.
https://www.digitalocean.com/community/tutorials/h...
https://help.ubuntu.com/community/SSH/OpenSSH/Keys
https://www.debian-administration.org/article/530/...

Первые попавшиеся статьи. Думаю, что вам их хватит :)

Answer 2

[Иван]

Пользуйтесь iptables.

Comments

[Оптимус Пьян]

Они по умолчанию не установлены, их надо ставить? Настройки iptables будут распространяться только на ssh или на ФТП например тоже?

[Эргил Осин]

Дмитрий: если не установлены, то доставьте. iptables можно указывать по портам откуда пускать. Так что хотите сделаете только для 22, хотите еще или для 20:21.

[Иван]

Дмитрий: это линуксовый файервол.

[Saboteur]

Дмитрий: iptables позволяет настроить политику для любой службы, любых портов и любых интерфейсов, не только хостов

[Оптимус Пьян]

Сергей: да я читал про них бегло, что для защиты от DDOS например применяются, ну пока вот у меня конкретная задача я с трудом понимаю для чего их смогу ещё применить, т.к. пока не заработало то буду с ними пробовать наверное...

[polozad]

Дмитрий: эту вашу конкретную задачу решает конкретно файерволл, остальное от лукавого. iptables от ddos - это как мёртвому припарка, он просто ляжет вместе со всей ОС, особенно без ipset. От DDOS куда серьёзнее вещи нужны.

[Оптимус Пьян]

polozad: уже копаю файрвол, а например:
service ssh restart
ssh: unrecognized service

/etc/init.d/ssh restart
файла init.d нет в папке etc - ошибка

В чём проблема в первом случае и какой файл во втором вместо него?

[polozad]

Дмитрий: /etc/init.d/sshd же. Это демон.

[polozad]

Дмитрий: а ещё уточните всё-таки версию дистрибутива. У вас там не systemd случайно?

[Оптимус Пьян]

polozad: блин у меня оказывается CentOS release 6.6 (Final) а я думал дебиан...

[Оптимус Пьян]

polozad: а можно ещё нубский вопрос: почему пароли подбирают именно к ssh а не к фтп например?

[polozad]

Дмитрий: потому что ssh позволяет не только загружать и удалять файлы. В случае подбора пароля на бездумно открытого рута, ваш сервер весело присоединяется к компании ботнетов и начинает творить непотребства, рассылать спам и играть в блекджек. Однако, как тут уже говорили, поломать ключ - крайне сложная задача, на пару сотен лет брутфорса, если не больше. Проще использовать уязвимости, которых в ssh всё меньше и меньше. Потому ставьте авторизацию по ключу, закрывайте файерволлом с безусловным дропом пакетов, и спите спокойно.

[SergeyShibka]

iptables+fail2ban