5 L-Aħjar Prattiċi biex Jipprevjenu Attakki ta' Login SSH Brute-Force

Servers li jħaddmu SSH huma normalment mira artab għal attakki b'forza bruta. Il-hackers qegħdin kontinwament joħorġu b'għodod tas-softwer u bots innovattivi għall-awtomazzjoni ta' attakki ta' forza bruta li jkomplu jżidu r-riskju ta' intrużjoni.

F'din il-gwida, nesploraw xi wħud mill-pariri li tista' timplimenta biex tissalvagwardja s-servers SSH tiegħek minn attakki b'forza bruta fuq derivattivi Debian.

Iddiżattiva l-Awtentikazzjoni tal-Password SSH u Awtentikazzjoni SSH-Key

Il-metodu ta' awtentikazzjoni default għal SSH huwa l-awtentikazzjoni tal-username/password. Iżda kif rajna, l-awtentikazzjoni tal-password hija suxxettibbli għal attakki b'forza bruta. Biex tkun fuq in-naħa sigura, huwa rrakkomandat li tiġi implimentata awtentikazzjoni SSH bbażata fuq iċ-ċavetta fejn l-awtentikazzjoni ssir possibbli minn pari ta’ ċwievet SSH pubbliċi u privati. Iċ-ċavetta privata tibqa’ fuq il-PC tal-klijent filwaqt li ċ-ċavetta pubblika tiġi kkupjata fis-server.

Waqt l-awtentikazzjoni taċ-ċavetta SSH, is-server jiċċekkja jekk il-klijent PC jippossjedix iċ-ċavetta privata. Jekk il-kontroll jirnexxi, tinħoloq sessjoni shell jew il-kmand mibgħut lis-server remot jiġi esegwit b'suċċess. Għandna gwida komprensiva dwar kif tikkonfigura l-awtentikazzjoni bbażata fuq iċ-ċavetta SSH.

Anke wara li waqqaf l-awtentikazzjoni bbażata fuq iċ-ċavetta, is-server tiegħek għadu suxxettibbli għal attakki b'forza bruta għas-sempliċi raġuni li l-awtentikazzjoni tal-password għadha attiva. Dan jeħtieġ li jiġi diżattivat.

Għalhekk, editja l-fajl tal-konfigurazzjoni SSH default.

$ sudo vim /etc/ssh/sshd_config

Issettja l-parametru PasswordAuthentication għal no kif muri.

PasswordAuthentication no

Imbagħad issalva l-fajl u erġa' tagħbija SSH biex tapplika l-bidliet.

$ sudo systemctl reload ssh

Implimenta l-Għodda għall-Prevenzjoni tal-Intrużjoni Fail2ban

Miktub f'Python, Fail2ban huwa qafas ta' prevenzjoni ta' intrużjoni ta' sors miftuħ li jiskenja fajls log tas-servizzi għal fallimenti ta 'awtentikazzjoni u jipprojbixxi IPs li ripetutament jonqsu l-kontrolli tal-awtentikazzjoni tal-password għal ammont speċifikat ta' żmien.

Fail2ban jimmonitorja kontinwament il-fajls tar-reġistri tas-server għal tentattivi ta’ intrużjoni u attività oħra ħżiena, Wara numru predefinit ta’ fallimenti ta’ awtentikazzjoni – fil-biċċa l-kbira tal-każijiet, 3 tentattivi ta’ login falluti – Fail2ban awtomatikament jimblokka lill-host remot milli jaċċessa s-server, u l-host jinżamm f’' ħabs' għal tul ta' żmien speċifiku.

B'hekk, Fail2ban inaqqas b'mod sinifikanti r-rata ta' tentattivi ta' awtentikazzjoni ta' password mhux korretti. Iċċekkja l-gwida tagħna dwar kif tista 'tinstalla u tikkonfigura Fail2ban fuq Linux biex tiżgura s-server tiegħek minn attakki Bruteforce.

Limitu Numru Massimu ta' Tentattivi ta' Awtentikazzjoni SSH

Mod sempliċi ieħor kif tissalvagwardja s-server tiegħek minn attakki ta' forza bruta huwa billi tillimita n-numru ta' tentattivi ta' login SSH. B'mod awtomatiku, dan huwa ssettjat għal 3, iżda jekk b'xi ċans dan huwa ssettjat għal valur ogħla, issettjah għal 3 tentattivi ta 'konnessjoni l-aktar.

Pereżempju, biex issettja t-tentattivi ta' konnessjoni massimi għal 3 issettja l-parametru MaxAuthTries għal 3 kif muri

MaxAuthTries = 3

Għal darb'oħra, issalva l-bidliet u erġa' tagħbija s-servizz SSH.

$ sudo systemctl reload ssh

Implimenta TCP Wrappers biex Illimita l-Aċċess SSH Mill-Klijenti

TCP wrappers hija librerija li tipprovdi Lista ta' Kontroll ta' Aċċess (ACL) ibbażata fuq il-host li tirrestrinġi l-aċċess għal servizzi TCP minn klijenti remoti abbażi tal-indirizzi IP tagħhom

Hosts remoti milli jaċċessaw is-servizzi fis-sistema. It-tgeżwir tat-TCP juża l-fajls tal-konfigurazzjoni /etc/hosts.allow u /etc/hosts.deny (f'dik l-ordni) biex jiddetermina jekk il-klijent remot jitħalla jaċċessa servizz speċifiku jew le.

Normalment, dawn il-fajls jiġu kkummentati u l-ospiti kollha huma permessi permezz tas-saff tat-tgeżwir tat-TCP. Ir-regoli biex jippermettu aċċess għal servizz partikolari jitqiegħdu fil-fajl /etc/hosts.allow u jieħdu preċedenza fuq ir-regoli fil-fajl /etc/hosts.deny.

L-aħjar prattika tirrakkomanda li timblokka l-konnessjonijiet kollha deħlin. Għalhekk, iftaħ il-fajl /etc/hosts.deny.

$ sudo vim /etc/hosts.deny

Żid il-linja li ġejja.

ALL: ALL

Issejvja l-bidliet u oħroġ mill-fajl.

Imbagħad aċċess għall-fajl /etc/hosts.allow.

$ sudo vim /etc/hosts.allow

Ikkonfigura l-hosts jew id-dominji li jistgħu jgħaqqdu mas-server permezz ta 'SSH kif muri. F'dan l-eżempju, qed inħallu biss żewġ hosts remoti biex jgħaqqdu mas-server (173.82.227.89 u 173.82.255.55) u niċħdu l-bqija.

sshd: 173.82.227.89 173.82.255.55
sshd: ALL: DENY

Issejvja l-bidliet u oħroġ mill-fajl tal-konfigurazzjoni.

Biex tittestjah, ipprova qabbad mas-server minn host li ma jkunx fost dawk li ppermettiet aċċess għalihom. Għandek tikseb żball ta' permess kif muri.

$ ssh [email 

kex_exchange_identification: read: Connection reset by peer
Connection reset by 173.82.235.7 port 22
lost connection

Implimenta Awtentikazzjoni SSH Żewġ Fatturi

L-Awtentikazzjoni b'żewġ Fatturi tipprovdi saff ta' sigurtà miżjud mal-awtentikazzjoni tal-password, u b'hekk is-server tiegħek isir aktar sigur minn attakki ta' forza bruta. Soluzzjoni ta 'Awtentikazzjoni ta' Żewġ Fatturi li tintuża ħafna hija Google Authenticator App u għandna gwida dokumentata sew dwar kif tista 'twaqqaf Awtentikazzjoni ta' Żewġ Fatturi.

Dan kien sommarju ta '5 l-aħjar prattiki li tista' timplimenta biex tipprevjeni l-attakki tal-login SSH Brute Force u tiżgura s-sigurtà tas-server tiegħek. Tista 'wkoll taqra Kif tiżgura u tibbies OpenSSH Server.