防止对 ssh 的蛮力攻击？

Question

您使用什么工具或技术来防止对您的 ssh 端口进行暴力攻击。我在安全日志中注意到，我有数百万次尝试通过 ssh 以各种用户身份登录。

这是在 FreeBSD 机器上，但我想它适用于任何地方。

Answer 1

我使用fail2ban，它会在可配置的时间内多次尝试失败后锁定IP。

将此与密码强度测试（使用john (John the Ripper)）相结合，以确保暴力攻击不会成功。

Answer 2

这是Rainer Wichmann关于该主题的一篇好文章。

它解释了这些方法的优缺点：

• 强密码
• RSA认证
• 使用“iptables”来阻止攻击
• 使用 sshd 日志阻止攻击
• 使用 tcp_wrappers 来阻止攻击
• 敲端口

Answer 3

您可以做的小事是使用 DenyHosts 之类的东西：

http://denyhosts.sourceforge.net/

它使用内置的 hosts.allow/hosts.deny 来阻止 SSH 滥用者。

Answer 4

• 更改使用的端口（如Trent所述）
• 需要加密密钥而不是密码。http://novosial.org/openssh/publickey-auth/
• 黑名单攻击者ips
• 将已知用户列入白名单以防止意外列入黑名单。（正如萨米埃拉所提到的）

Answer 5

避免这些攻击的最简单方法之一是更改 sshd 侦听的端口

Answer 6

正如 Chris 指出的那样，使用加密密钥而不是密码。

补充一点：

• 尽可能使用白名单。

您真正需要访问您的公共 ssh 连接的人数或地点（带有浮动公共 IP）有多少？

根据您维护的公共 ssh 主机的数量以及您是否可以缩小一般连接标准的范围，它可能是一种更简单、可维护的配置，以限制对少数外部主机的访问。

如果这对您有用，它可以真正简化您的管理开销。

Answer 7

除了其他好的建议之外，一件非常简单的事情就是限制传入连接的速率。每个 IP 每分钟限制为 3 个连接：

iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

Answer 8

使用 sshd_config 中的“AllowUsers”选项确保只有一小部分用户可以登录。所有其他人都会被拒绝，即使他们的用户名和密码是正确的。

您甚至可以限制用户从特定主机登录。

例如，

AllowUsers user1 user2@host.example.com

这将减少搜索空间并避免那些不小心留下或启用的旧用户（尽管这些当然应该被禁用，这是阻止他们被用于基于 SSH 的条目的简单方法）。

这并不能完全阻止蛮力攻击，但有助于降低风险。