Verhindern von Brute-Force-Angriffe auf SSH
Sicherheit ist eine wichtige Sache, und hier ist es nicht zur Diskussion. Sie sollten auf die Sicherheit Ihrer Maschinen und damit Ihrer Daten sowohl auf Heimcomputern als auch auf Servern achten. Letzteres ist möglicherweise anfälliger für eine Vielzahl von Angriffen, Der Webserver ist immer mit dem Netzwerk verbunden und kann Informationen enthalten, die für andere von Interesse sind.
Es ist auch ein großartiges Tool, um weitere Angriffe auf andere Server und Computer auszuführen, Daher kann es für jemanden zu einem leckeren Bissen werden.
DenyHosts ist ein Tool zur Verhinderung von Servereinbrüchen. Es erkennt Brute-Force-Angriffe, überwacht ungültige Anmeldeversuche, schreibt das Ereignis in das Protokoll und blockiert die IP-Adresse, von der aus der Angriff ausgeführt wurde.
Installation in Debian / Ubuntu
1 | sudo apt-get install denyhosts |
Konfiguration
Nach der Installation startet der Daemon automatisch und ist bereits vorkonfiguriert. Funktioniert und macht seinen Job, Es sollte jedoch an Ihre Bedürfnisse angepasst werden. Die Konfigurationsdatei befindet sich in /etc/denyhosts.conf und muss bearbeitet werden:
1 | nano /etc/denyhosts.conf |
Wichtige Einstellungen:
Sektion PURGE_DENY, Hier legen wir die Zeit fest, nach der die blockierte IP von der schwarzen Liste entfernt werden soll. Der Standardwert ist festgelegt:
1 | PURGE_DENY = |
Was bedeutet, dass die IP dauerhaft gesperrt ist und nicht von der Blacklist entfernt wird. Meiner Ansicht nach, dass du es dort lassen sollst.
BLOCK_SERVICE, Hier legen wir fest, ob eine bestimmte IP nur für SSH oder für alle Dienste blockiert werden soll. Standardmäßig ist nur SSH blockiert, es lohnt sich also zu tauschen:
1 | BLOCK_SERVICE = sshd |
gehört
1 | BLOCK_SERVICE = ALL |
DENY_THRESHOLD_INVALID, Hier legen wir fest, nach wie vielen erfolglosen Anmeldeversuchen die IP gesperrt werden soll. Die Standardeinstellung ist dies 5 erfolglose Versuche:
1 | DENY_THRESHOLD_INVALID = 5 |
DENY_THRESHOLD_VALID, Diese Option ist auch dafür verantwortlich, die Anzahl der fehlgeschlagenen Anmeldungen festzulegen, nach denen die IP gesperrt werden soll, mit Ausnahme von Konten, die in / etc / passwd vorhanden sind. Die Standardeinstellung ist dies 10 Versuche:
1 | DENY_THRESHOLD_VALID = 10 |
DENY_THRESHOLD_ROOT in diesem von uns festgelegten Abschnitt kann festgelegt werden, ob Versuche, sich beim Root-Konto anzumelden, sofort blockiert werden sollen. Wenn sich jemand beim Root-Konto anmelden möchte, seine IP wird gesperrt. Standardmäßig ist es aktiviert:
1 | DENY_THRESHOLD_ROOT = 1 |
DENY_THRESHOLD_RESTRICTED, das diese Option aktiviert, führt zu einer IP-Blockierung, nachdem versucht wurde, sich mit dem in der Datei mit eingeschränkten Benutzernamen angegebenen Login anzumelden. Standardmäßig aktiviert:
1 | DENY_THRESHOLD_RESTRICTED = 1 |
SYNC_SERVER eine sehr interessante Option, Nach dem Einschalten lädt DenyHosts die Basis blockierter IPs vom Server herunter (Denken Sie daran, Botnets schlafen nicht 😛 heise-online.pl) Standardmäßig ist diese Option deaktiviert, Es lohnt sich jedoch, es einzuschalten, nur auskommentieren:
1 | #SYNC_SERVER = http://xmlrpc.denyhosts.net:9911 |
SYNC_INTERVAL Diese Option ist für die Häufigkeit der Synchronisation der Basis blockierter IPs verantwortlich (Nur nützlich, wenn SYNC_SERVER aktiviert ist). Sollte nicht kommentiert werden:
1 | #SYNC_INTERVAL = 1h |
SYNC_UPLOAD Mit dieser Option können Sie unsere Datenbank mit blockierten IPs an den Server senden. Sie können es einschalten, indem Sie es auskommentieren:
1 | #SYNC_UPLOAD = yes |
SYNC_DOWNLOAD Diese Einstellung ermöglicht das Herunterladen der Liste der gesperrten IP-Adressen, Schalten Sie es ein, indem Sie es auskommentieren:
1 | #SYNC_DOWNLOAD = yes |
Es ist auch eine gute Idee, die Abschnitte ADMIN_EMAIL zu konfigurieren, SMTP_HOST, SMTP_USERNAME i SMTP_PASSWORD
