52 votes

Aaron B avatar

Prévenir les attaques par force brute contre ssh ?

Demandé el 4 de Mai, 2009
Quand la question a-t-elle été
9779 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quel outil ou technique utilisez-vous pour empêcher les attaques par force brute contre votre port ssh. J'ai remarqué dans mes journaux de sécurité que j'ai des millions de tentatives de connexion en tant que différents utilisateurs via ssh.

Ceci est fait sur une machine FreeBSD, mais j'imagine que c'est applicable partout.

Demandé el 4 de Mai, 2009 par Aaron B

Réponses

Trop de publicités?

45voto

Kristof Provost avatar
Kristof Provost Points 12359

J'utilise fail2ban qui bloque une IP après plusieurs tentatives infructueuses pendant une durée configurable.

Combinez cela avec un test de solidité du mot de passe (en utilisant Jean (John l'Éventreur)) pour s'assurer que les attaques par force brute ne réussissent pas.

Répondu el 4 de Mai, 2009 par Kristof Provost (12359 Points )

28voto

Peter Coulton avatar
Peter Coulton Points 12453

Voici une bon article sur ce sujet par Rainer Wichmann.

Il explique les avantages et les inconvénients de ces méthodes :

  • Des mots de passe forts
  • Authentification RSA
  • Utiliser 'iptables' pour bloquer l'attaque
  • Utiliser le journal sshd pour bloquer les attaques
  • Utilisation de tcp_wrappers pour bloquer les attaques
  • Frapper au port
Répondu el 5 de Mai, 2009 par Peter Coulton (12453 Points )

24voto

hernan43 avatar
hernan43 Points 856

Une petite chose que vous pouvez faire est d'utiliser quelque chose comme DenyHosts :

http://denyhosts.sourceforge.net/

Il utilise les fonctions intégrées hosts.allow/hosts.deny pour bloquer les abuseurs de SSH.

Répondu el 4 de Mai, 2009 par hernan43 (856 Points )

16voto

pelms avatar
pelms Points 719
  • Modifier le port utilisé (comme Trent mentionnés)
  • Exiger des clés de chiffrement au lieu de mots de passe. http://novosial.org/openssh/publickey-auth/
  • Liste noire attaquant ips
  • Liste blanche les utilisateurs connus afin d'éviter l'établissement accidentel d'une liste noire. (comme l'a mentionné Samiuela)
Répondu el 4 de Mai, 2009 par pelms (719 Points )

15voto

trent avatar
trent Points 3094

L'un des moyens les plus simples d'éviter ces attaques consiste à modifier le port sur lequel sshd écoute

Répondu el 4 de Mai, 2009 par trent (3094 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X