Как ограничить доступ к серверу по ssh для всех, кроме нескольких адресов?

Question

[Марк Розенталь]

Привет!
Имею vps на centos. Недавно был неделю в угаре и зашел только вчера. И шо бы вы думали? Вижу - овер 700 попыток login failure для рута. Логи показали какой-то ботнет: уж очень много адресов.
Думал заблочить доступ для всех, кроме я дома и я на работе, однако у меня меняется айпишник дома по такому принципу: 14.88.10.36/37/38/39 etc. Можно ли как-то по маске сделать белый список?

Answer 1

[CityCat4]

Добавить в /etc/ssh/sshd_config
AllowUsers <логин>

и пусть хоть треснут, пытаясь подобрать пароль. Пароль для <логин> ессно должен быть хорошим. А лучше всего - аутентификация по ключу.

Comments

[Марк Розенталь]

а что с нагрузкой? если одновременно по 10 логинов в секунду, сервер на 1гб не сдохнет?

[CityCat4]

Марк Розенталь: MaxSessions <число> - и сервер не будет принимать попыток логина больше чем <число>. MaxAuthTries ограничивает число попыток ввода пароля, LoginGraceTime - время на логин

Answer 2

[revko]

- используйте fail2ban
- настройте iptables/ufw для разрешения подключения только с доверенных подсетей/хостов.
- используйте авторизацию по ключам
- опционально можно использовать параметр AllowUsers в конфиге ssh (/etc/ssh/sshd_config):
AllowUsers username@14.88.10.0/24 - разрешение подключаться пользователю username с адресов, входящих в подсеть 14.88.10.0/24

Comments

[Марк Розенталь]

Наканецта.
Спасибо, ваш вариант сработал. iptables меня потом вообще прекратил пускать. Шляпа какая-то.

Answer 3

[SagePtr]

Лучше вообще запретить авторизацию по паролю, разрешить через ключ. Тогда пусть хоть наподбираются, толку не будет.

Comments

[Марк Розенталь]

Окей, это хорошее решение