Как ограничить доступ по SSH на centos7?

Question

[Евгений М]

Нужен вариант по кол-ву попыток подключения, потому-что, кто-то 20 раз пытался подключится к моему серверу.

Answer 1

[uaVPS]

По умолчанию сервис ssh открыт в CentOS
Сперва разрешаем доступ для нужной подсети 1.2.3.0/24 (подставляете свое значение)

firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address="1.2.3.0/24" port port=22 protocol=tcp accept'

Далее применяем изменения
firewall-cmd --reload
Смотрим, что все прошло успешно и правило добавилось
firewall-cmd --permanent --list-all
И только теперь удаляем общее правило ssh из списка разрешенных

firewall-cmd --permanent --zone=public --remove-service=ssh

Снова применяем изменения
firewall-cmd --reload
Теперь кулцкакеры не будут Вас беспокоить, но если Вы хотите открыть наружу порт ssh, то Вас спасет только fail2ban

Comments

[DevMan]

не только.

[Евгений М]

Просто, кол-во попыток до 3 раз можно ограничить? Потом чтобы автоматом блокировался этот IP на некоторое время.

[uaVPS]

Евгений Макаров, это стандартный функционал fail2ban.
ignoreip- задает список ip адресов, которые нужно исключить из алгоритмов Fail2ban. К ним не будут применяться ограничения, так что выбирайте их аккуратно. Диапазоны и IP адреса стоит разделить пробелом. Сюда можно добавить локальный ip, а также свой домашний адрес, чтобы у вас не возникло проблем при входе;
bantime- указывает время, на которое клиенту буде закрыт доступ к серверу, если он не сможет авторизоваться, в секундах;
maxretry- указывает количество попыток перед тем, как доступ будет заблокирован;
findtime- время в секундах, на протяжении которого рассчитывается maxretry.
Вот ссылка на подробное описание установки.

[Евгений М]

fail2ban оказывается уже установлен, спасибо.

Answer 2

[vanoc]

fail2ban, denyhosts

Answer 3

[CityCat4]

man sshd_config

Читаем про
LoginGraceTime
MaxAuthTries
MaxSessions