it-gundan.com

무차별 강제 SSH 공격을 막는 다양한 방법의 찬반사는 무엇입니까?

시스템에서 Brute-Force SSH Attack이 시작되는 IPS를 차단하기 위해 여러 가지 패키지가 있습니다. 예를 들어:

이들의 찬반자 또는 다른 것들은 무엇입니까?

내 현재 솔루션은 logwatch 매일 생성되고 분리 된 IP 주소를 텍스트 파일로 덤프하여 iptables를 재구성하는 스크립트로 피드 텍스트 파일로 덤프합니다. 그것은 해킹, 시간 소모적이며 수동이며 더 나은 방법을 원합니다.

(나는 "최선의"방법이 없기 때문에 문제를 해결할 수있는 "가장 좋은"방법이 무엇인지 묻지 않았습니다.)

21
Andy Lester

또 다른 하나는 iptables에 의존하는 또 다른 하나는 실패한 2 개 (그래서 SSH뿐만 아니라 모든 서비스와 함께 작동합니다). Fail2Ban을 사용하면 다음을 할 수 있습니다.

  • 로그 파일 (Apache, SSH, Nginx, Mail Server, ...)의 경로를 지정하십시오.
  • 공격 패턴에 대한 정규식을 지정하십시오 (예 : 10 초, NGINX 액세스 로그에서 동일한 IP에 의해 동일한 IP가 6 초)
  • 특정 패턴을 무시하기 위해 regex를 지정하십시오 (매우 유용합니다!)
  • 금지 시간 지정
  • 이메일 (또는 기타 경고 ...) 보내기
  • 완전 사용자 정의 가능 (자신의 경고 및 필터를 작성할 수 있음)

Denyhosts의 한 가지 "단점"은 TCP 래퍼가 필요하다는 것입니다. 따라서 /etc/hosts.deny 파일을 보는 서비스와 함께 작동합니다. 그러나 DenyHosts가 공정하기 위해 SSHD는 TCP 래퍼를 사용하도록 사용됩니다. 또한 Fail2Ban (그러나 덜 강력한)보다는 상자에서 쉽게 구성 할 수있는 데이 하우스가 있습니다.

비슷한 SF 질문 참조

19
Barthelemy