5 bestu aðferðir til að koma í veg fyrir SSH Brute-Force innskráningarárásir

Netþjónar sem keyra SSH eru venjulega mjúkt skotmark fyrir brute-force árásir. Tölvusnápur eru stöðugt að koma með nýstárleg hugbúnaðarverkfæri og vélmenni til að gera sjálfvirkan árásir á grimmdarkrafti sem auka enn frekar hættuna á afskiptum.

Í þessari handbók könnum við nokkur ráð sem þú getur útfært til að vernda SSH netþjóna þína fyrir árásum á Debian afleiður.

Slökktu á SSH lykilorðavottun og virkjaðu SSH-lykilsauðkenningu

Sjálfgefin auðkenningaraðferð fyrir SSH er auðkenning notendanafns/lykilorðs. En eins og við höfum séð er auðkenning lykilorðs viðkvæmt fyrir árásum með grimmilegum krafti. Til öryggis er mælt með því að innleiða SSH auðkenningu sem byggir á lyklum þar sem auðkenning er möguleg með opinberum og einka SSH lykla pörum. Einkalykillinn er áfram á tölvu viðskiptavinarins á meðan opinberi lykillinn er afritaður á netþjóninn.

Við auðkenningu SSH lykla athugar þjónninn hvort biðlaratölvan búi yfir einkalyklinum. Ef athugunin heppnast er skellotu búin til eða skipunin sem send er á ytri netþjóninn er keyrð með góðum árangri. Við höfum yfirgripsmikla leiðbeiningar um hvernig á að stilla SSH lykla-undirstaða auðkenningu.

Jafnvel eftir að þú hefur sett upp lykilatengda auðkenningu er þjónninn þinn enn næmur fyrir árásum með grimmdarkrafti af þeirri einföldu ástæðu að auðkenning lykilorðs er enn virk. Þetta þarf að vera óvirkt.

Þess vegna skaltu breyta sjálfgefna SSH stillingarskránni.

$ sudo vim /etc/ssh/sshd_config

Stilltu færibreytuna PasswordAuthentication á nei eins og sýnt er.

PasswordAuthentication no

Vistaðu síðan skrána og endurhlaða SSH til að beita breytingunum.

$ sudo systemctl reload ssh

Innleiða Fail2ban innbrotsvarnarverkfæri

Skrifað í Python, Fail2ban er opinn innbrotsramma sem skannar annálaskrár þjónustu fyrir auðkenningarbilanir og bannar IP-tölur sem misheppnast ítrekað að sannvottun lykilorðs í tiltekinn tíma.

Fail2ban fylgist stöðugt með notendaskrám netþjóns fyrir innrásartilraunir og annarri óheiðarlegri virkni, Eftir fyrirfram skilgreindan fjölda auðkenningarbilana – í flestum tilfellum, 3 misheppnaðar innskráningartilraunir – hindrar Fail2ban sjálfkrafa fyrir að ytri hýsilinn fái aðgang að þjóninum og hýsilinn er geymdur í „ Fangelsi í ákveðinn tíma.

Með því að gera það dregur Fail2ban verulega úr hlutfalli rangra auðkenningartilrauna með lykilorði. Skoðaðu leiðbeiningar okkar um hvernig þú getur sett upp og stillt Fail2ban á Linux til að tryggja netþjóninn þinn fyrir Bruteforce árásum.

Takmarka hámarksfjölda SSH auðkenningartilrauna

Önnur einföld leið til að vernda netþjóninn þinn fyrir árásum með brute-force er með því að takmarka fjölda SSH innskráningartilrauna. Sjálfgefið er þetta stillt á 3, en ef einhver tilviljun er þetta stillt á hærra gildi, stilltu það á 3 tengingartilraunir í mesta lagi.

Til dæmis, til að stilla hámarkstilraunir tengingar á 3 skaltu stilla MaxAuthTries færibreytuna á 3 eins og sýnt er

MaxAuthTries = 3

Enn og aftur skaltu vista breytingarnar og endurhlaða SSH þjónustuna.

$ sudo systemctl reload ssh

Innleiða TCP umbúðir til að takmarka SSH aðgang frá viðskiptavinum

TCP wrappers er bókasafn sem veitir aðgangsstýringarlista (ACL) sem byggir á hýsil sem takmarkar aðgang að TCP þjónustu fjarlægra viðskiptavina byggt á IP tölum þeirra

Fjarlægir gestgjafar fá aðgang að þjónustu á kerfinu. TCP umbúðir nota /etc/hosts.allow og /etc/hosts.deny stillingarskrárnar (í þeirri röð) til að ákvarða hvort ytri biðlarinn hafi aðgang að tiltekinni þjónustu eða ekki.

Venjulega eru þessar skrár skrifaðar út og öllum vélum er hleypt í gegnum TCP umbúðir lagið. Reglur um að leyfa aðgang að tiltekinni þjónustu eru settar í /etc/hosts.allow skrána og hafa forgang fram yfir reglurnar í /etc/hosts.deny skránni.

Bestu starfsvenjur mæla með því að loka fyrir allar komandi tengingar. Opnaðu því /etc/hosts.deny skrána.

$ sudo vim /etc/hosts.deny

Bættu við eftirfarandi línu.

ALL: ALL

Vistaðu breytingarnar og lokaðu skránni.

Opnaðu síðan /etc/hosts.allow skrána.

$ sudo vim /etc/hosts.allow

Stilltu vélar eða lén sem geta tengst þjóninum í gegnum SSH eins og sýnt er. Í þessu dæmi leyfum við aðeins tveimur fjarstýrum að tengjast þjóninum (173.82.227.89 og 173.82.255.55) og neitum hinum.

sshd: 173.82.227.89 173.82.255.55
sshd: ALL: DENY

Vistaðu breytingarnar og farðu úr stillingarskránni.

Til að prófa það, reyndu að tengjast netþjóninum frá hýsil sem er ekki meðal þeirra sem þú hefur leyft aðgang að. Þú ættir að fá leyfisvillu eins og sýnt er.

$ ssh [email 

kex_exchange_identification: read: Connection reset by peer
Connection reset by 173.82.235.7 port 22
lost connection

Innleiða SSH tveggja þátta auðkenningu

Two Factor Authentication veitir aukið öryggislag við auðkenningu lykilorðs og gerir þar með netþjóninn þinn öruggari fyrir árásum með grimmilegum krafti. Víða notuð tveggja þátta auðkenningarlausn er Google Authenticator App og við höfum vel skjalfesta leiðbeiningar um hvernig þú getur sett upp tveggja þátta auðkenningu.

Þetta var samantekt á 5 bestu starfsvenjum sem þú getur innleitt til að koma í veg fyrir SSH Brute Force innskráningarárásir og tryggja öryggi netþjónsins þíns. Þú getur líka lesið Hvernig á að tryggja og herða OpenSSH Server.