您使用什么工具或技术来防止对您的 ssh 端口进行暴力攻击。我在安全日志中注意到,我有数百万次尝试通过 ssh 以各种用户身份登录。
这是在 FreeBSD 机器上,但我想它适用于任何地方。
我对网络管理很陌生,所以请注意我还没有那么有经验。
我有一个带有 plesk 面板的 Ubuntu 根服务器。
昨天我和我的朋友注意到我们 TS3 的语音质量非常糟糕。我向服务器发送了一些 ping,发现丢包率很高。在那之后,我用谷歌搜索了一下,发现有一个auth.log. 我下载了它并滚动了一下,然后我发现了这个:
May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth]
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.220.198.102
May 13 10:01:29 rs204941 sshd[9351]: Failed password for invalid user student from 112.220.198.102 port 39806 ssh2
May 13 10:01:29 rs204941 sshd[9351]: Received disconnect from 112.220.198.102: 11: Bye Bye [preauth]
May 13 10:01:31 rs204941 …我有一个小的 SVN 服务器,运行 debian 的旧戴尔 optiplex。我对我的服务器没有那么高的要求,因为它只是一个小小的 SVN 服务器......但确实希望它是安全的。
我刚刚将我的服务器更新到更新更好的 optiplex,并开始查看旧服务器。我在遇到问题后将其取下。当我检查日志时,它充满了蛮力尝试,不知何故有人成功进入了我的机器。此人创建了一些名为“knarkgosse”的额外卷,其中包含两个目录“root”和“swap1”之类的。不知道为什么和他们做什么,但肯定希望防止这种情况再次发生。我觉得这有点奇怪,因为我每隔几个月左右就会更改我的密码,而且密码总是随机的字母和数字组合在一起......不容易暴力破解。
我知道我可以阻止 root 登录,并使用 sudoers ......并更改 SSH 端口,但我还能做什么?
所以我有几个问题:
如何在 X 次错误尝试后阻止登录 5 分钟。还是在每次错误尝试后缓慢尝试?
服务器是否可以连接到某种中央黑名单?跟踪“不安全”且永远不应被授予访问权限的 IP 地址的黑名单?
我还能做些什么来将安全应用于我的服务器?
就像我之前说的,我正在运行带有 Apache(www-data 用户问题?)、svn、mysql、php、phpmyadmin、hudson 的 Debian 5。它位于家庭网络上,端口转发为 80、443、8080、8180、23 和 22。