Попытки подбора паролей в SSH, OpenWRT

Question

[Алексей Грин]

Сидел я как обычно, вдруг приспичило почитать логи системного журнала роутера и обнаружил такие логи dropbear:

May  4 20:18:08 router authpriv.warn dropbear[14525]: Bad password attempt for 'root' from 113.108.211.131:50685
May  4 20:18:08 router authpriv.info dropbear[14525]: Exit before auth (user 'root', 1 fails): Disconnect received
May  4 20:18:09 router authpriv.info dropbear[14526]: Child connection from 113.108.211.131:50934
May  4 20:18:11 router authpriv.warn dropbear[14526]: Bad password attempt for 'root' from 113.108.211.131:50934
May  4 20:18:12 router authpriv.info dropbear[14526]: Exit before auth (user 'root', 1 fails): Disconnect received
May  4 20:18:12 router authpriv.info dropbear[14527]: Child connection from 113.108.211.131:51185
May  4 20:18:15 router authpriv.warn dropbear[14527]: Bad password attempt for 'root' from 113.108.211.131:51185
May  4 20:18:15 router authpriv.info dropbear[14527]: Exit before auth (user 'root', 1 fails): Disconnect received
May  4 20:18:16 router authpriv.info dropbear[14528]: Child connection from 113.108.211.131:51417
May  4 20:18:18 router authpriv.warn dropbear[14528]: Bad password attempt for 'root' from 113.108.211.131:51417
May  4 20:18:19 router authpriv.info dropbear[14528]: Exit before auth (user 'root', 1 fails): Disconnect received
May  4 20:18:19 router authpriv.info dropbear[14529]: Child connection from 113.108.211.131:51647

Понял что пароль подбирают, проверил WHOIS IP адресов:

Китайцы...
Вопрос к сообществу, как прекратить подобное, при условии, что внешний доступ по ssh мне нужен.
P.S - Пароль стоит термоядерный, вряд ли подберут, но всё равно волнует.

Answer 1

[Vit]

1. Запретить по ssh авторизовываться руту.
2. Перевесить ssh на другой, отличный от 22, порт.
3. Убрать авторизацию по паролю, сделать авторизацию по ключам.

Answer 2

[throughtheether]

как прекратить подобное, при условии, что внешний доступ по ssh мне нужен

Экзистенциально эта проблема не имеет решения, я полагаю. Всегда, когда есть доступ снаружи, будут люди (боты), пытающиеся этот доступ эксплуатировать. В качестве паллиатива можно перевесить ssh-демон на другой порт и/или реализовать port-knocking (не знаю, насколько это просто сделать в openWRT). Можно еще попытаться зафильтровать входящий ssh-трафик по базе GeoIP или резать по самодельной базе префиксов, но это самый плохой способ, по моему мнению.

Answer 3

[Павел Вастеров]

Настроить на доступ только с определенных ip, если не подходит, то результат на первой странице яндекса eximido.livejournal.com/41284.html

Answer 4

[Виталий Литвинов]

А я придумал ещё один вариант для тех у кого белый IP.
Настроил IPv6 в роутере потом настроил 6to4 в роутере и dropbear повесил на интерфейс 6to4

/etc/config/dropbear
config dropbear
option Port '22'
option PasswordAuth 'on'
option Interface '6to4'

И LuСi
/etc/config/uhttpd
# Server configuration
config uhttpd main

# HTTP listen addresses, multiple allowed
# list listen_http 0.0.0.0:80
list listen_http [::]:80

# HTTPS listen addresses, multiple allowed
# list listen_https 0.0.0.0:443
list listen_https [::]:443

Проверяем командой
netstat -lt

Теперь для того чтоб подключиться к LuСi нужно посмотреть в настройках
Шлюз по умолчанию IPv6 и вставить в браузер [fe80::6610:2ff:fe66:d17f]
к SSH подключаемся так в PuTTY вставляем
root@::271.101.171.908 или так root@2002:C000:0204::1

И пускай себе ломают по IPv4, а у нас всё весит на IPv6

Comments

[Алексей Грин]

Блин, а здорово придумал!

[Виталий Литвинов]

В Radvd для 6to4 нужно поставить только одну галочку - самую верхнюю Интерфейсы и перезагрузить роутер. Кстати эту схему можно применить не только в роутерах но и на серверах 6to4 там точно работает. По IPv6 сейчас пока мало кто ходит.

[Алексей Грин]

Виталий Литвинов: Класс, можно под ssh VPS какого-нибудь так сделать. Спасибо за совет.

Answer 5

[Алексей Грин]

Решение нашёл, фильтрация по MAC-адресам, так как доступ мне нужен только с ноутбука, планшета и смартфона, то сделаю белый список MAC-адресов.
Только странно, почему именно китайцы?

Answer 6

[Станислав Сомов]

Fail2ban и немного сложный пароль )) хорошо усложнит жизнь китайцам.

Answer 7

[abcdeiko]

Фильтрация по mac адресам??
Если у вас домашний роутер и вы хотите что бы был доступ только с вашей локальной сети, то пропишите правило в iptables, которое разрешить доступ только с вашей внутренней сети.
Для запрета доступа к ssh из внешней сети:
iptables -A INPUT -i eth0 -p tcp --destination-port 22 -j DROP , где eth0 - интерфейс, который смотрит в "мир"

Можете также поменять порт, на котором будет работать ssh, для этого поправьте файл /etc/config/dropbear

config dropbear
option Port '555' , где 555 - новый порт, на котором будет висеть ssh.
Сохраните и перезагрузите роутер

Comments

[dartraiden]

Запрет доступа к ssh из "большого Интернета" тоже решается через конфиг, без iptables:

option Interface 'lan'

Он будет принимать соединения лишь из локальной сети.