5 Labing Maayo nga Mga Praktis para Malikayan ang SSH Brute-Force Login Attacks
Ang mga server nga nagdagan sa SSH kasagaran usa ka humok nga target alang sa mga pag-atake nga kusog nga kusog. Ang mga hacker kanunay nga nag-abut sa mga bag-ong software nga himan ug mga bot alang sa pag-automate sa mga pag-atake sa brute-force nga dugang nga nagdugang sa risgo sa pagsulod.
Sa kini nga giya, among gisusi ang pipila ka mga tip nga mahimo nimong ipatuman aron mapanalipdan ang imong mga server sa SSH gikan sa mga brute-force nga pag-atake sa mga derivatives sa Debian.
I-disable ang SSH Password Authentication ug I-enable ang SSH-Key Authentication
Ang default nga paagi sa pag-authenticate para sa SSH mao ang username/password authentication. Apan sama sa among nakita, ang pag-authenticate sa password dali ra sa mga pag-atake sa kusog nga kusog. Aron mahimong luwas nga bahin, girekomenda nga ipatuman ang key-based SSH authentication diin ang authentication gihimo nga posible sa publiko ug pribado nga SSH key pairs. Ang pribado nga yawe nagpabilin sa PC sa kliyente samtang ang publiko nga yawe gikopya sa server.
Atol sa SSH key authentication, ang server nagsusi kung ang kliyente nga PC adunay pribadong yawe. Kung ang tseke malampuson, usa ka sesyon sa kabhang gihimo o ang mando nga gipadala sa hilit nga server malampuson nga gipatuman. Kami adunay usa ka komprehensibo nga giya kung unsaon pag-configure ang SSH key-based authentication.
Bisan human sa pag-set up sa Key-based authentication, ang imong server delikado gihapon sa brute-force attacks tungod sa yanong rason nga ang password authentication aktibo gihapon. Kinahanglan kining i-disable.
Busa, usba ang default SSH configuration file.
$ sudo vim /etc/ssh/sshd_config
Ibutang ang parameter sa PasswordAuthentication sa no ingon sa gipakita.
PasswordAuthentication no
Dayon i-save ang file ug i-reload ang SSH aron magamit ang mga pagbag-o.
$ sudo systemctl reload ssh
Ipatuman ang Fail2ban Intrusion Prevention Tool
Gisulat sa Python, ang Fail2ban usa ka open-source intrusion prevention framework nga nag-scan sa mga log files sa mga serbisyo alang sa mga kapakyasan sa pag-authenticate ug nagdili sa mga IP nga balik-balik nga napakyas sa pagsusi sa pag-authenticate sa password alang sa piho nga gidugayon sa panahon.
Ang Fail2ban kanunay nga nag-monitor sa mga file sa log sa server alang sa mga pagsulay sa pagsulod ug uban pang daotan nga kalihokan, Pagkahuman sa usa ka gitakda nang daan nga gidaghanon sa mga kapakyasan sa pag-authenticate - sa kadaghanan nga mga kaso, 3 napakyas nga pagsulay sa pag-login - Awtomatik nga gibabagan sa Fail2ban ang hilit nga host gikan sa pag-access sa server, ug ang host gitago sa usa ka ' Bilanggoan sa usa ka piho nga gidugayon sa panahon.
Sa pagbuhat niini, ang Fail2ban makapakunhod pag-ayo sa rate sa sayop nga pagsulay sa pag-authenticate sa password. Tan-awa ang among giya kung giunsa nimo ma-install ug ma-configure ang Fail2ban sa Linux aron masiguro ang imong server gikan sa mga pag-atake sa Bruteforce.
Limitahan ang Maximum nga Gidaghanon sa mga Pagsulay sa Pagpamatuod sa SSH
Ang laing yano nga paagi sa pagpanalipod sa imong server gikan sa brute-force nga mga pag-atake mao ang paglimite sa gidaghanon sa mga pagsulay sa pag-login sa SSH. Sa kasagaran, kini gibutang sa 3, apan kon sa bisan unsa nga higayon kini gibutang sa usa ka mas taas nga bili, ibutang kini ngadto sa 3 koneksyon pagsulay sa kadaghanan.
Pananglitan, aron itakda ang labing kadaghan nga pagsulay sa koneksyon sa 3 itakda ang parameter sa MaxAuthTries sa 3 sama sa gipakita
MaxAuthTries = 3
Sa makausa pa, i-save ang mga pagbag-o ug i-reload ang serbisyo sa SSH.
$ sudo systemctl reload ssh
Ipatuman ang TCP Wrappers aron Limitahan ang SSH Access Gikan sa mga Kliyente
Ang TCP wrappers usa ka librarya nga naghatag ug host-based nga Access Control List (ACL) nga nagpugong sa pag-access sa mga serbisyo sa TCP sa mga hilit nga kliyente base sa ilang mga IP address.
Ang layo nga mga host gikan sa pag-access sa mga serbisyo sa sistema. Ang mga wrapper sa TCP naggamit sa /etc/hosts.allow ug /etc/hosts.deny nga mga file sa pag-configure (sa maong han-ay) aron mahibal-an kung ang hilit nga kliyente gitugotan nga maka-access sa usa ka piho nga serbisyo o dili.
Kasagaran, kini nga mga file gikomento ug ang tanan nga mga host gitugotan pinaagi sa layer sa TCP wrappers. Ang mga lagda alang sa pagtugot sa pag-access sa usa ka gihatag nga serbisyo gibutang sa /etc/hosts.allow file ug mag-una sa mga lagda sa /etc/hosts.deny file.
Girekomenda sa labing maayo nga praktis ang pagbabag sa tanan nga umaabot nga koneksyon. Busa, ablihi ang /etc/hosts.deny file.
$ sudo vim /etc/hosts.deny
Idugang ang mosunod nga linya.
ALL: ALL
I-save ang mga pagbag-o ug paggawas sa file.
Unya access sa /etc/hosts.allow file.
$ sudo vim /etc/hosts.allow
I-configure ang mga host o domain nga makakonektar sa server pinaagi sa SSH sama sa gipakita. Niini nga pananglitan, gitugotan lang namo ang duha ka hilit nga mga host nga magkonektar sa server (173.82.227.89 ug 173.82.255.55) ug ipanghimakak ang uban.
sshd: 173.82.227.89 173.82.255.55 sshd: ALL: DENY
I-save ang mga pagbag-o ug paggawas sa configuration file.
Aron masulayan kini, sulayi ang pagkonektar sa server gikan sa usa ka host nga wala sa imong gitugotan nga maka-access. Kinahanglan nga makakuha ka usa ka sayup nga pagtugot sama sa gipakita.
$ ssh [email kex_exchange_identification: read: Connection reset by peer Connection reset by 173.82.235.7 port 22 lost connection
Ipatuman ang SSH Two Factor Authentication
Ang Two Factor Authentication naghatag ug dugang security layer sa password authentication, sa ingon naghimo sa imong server nga mas luwas gikan sa brute-force attacks. Usa ka kaylap nga gigamit nga solusyon sa Two Factor Authentication mao ang Google Authenticator App ug kami adunay usa ka maayo nga dokumentado nga giya kung giunsa nimo ma-set up ang Two Factor Authentication.
Kini usa ka katingbanan sa 5 nga labing kaayo nga mga gawi nga mahimo nimong ipatuman aron mapugngan ang mga pag-atake sa pag-login sa SSH Brute Force ug masiguro ang kaluwasan sa imong server. Mahimo usab nimo mabasa kung giunsa ang pagsiguro ug pagpatig-a sa OpenSSH Server.