Dar*_*n13 9 security ssh ipv6 sshd ip6tables
我最近不得不使用一些具有 IPv6 连接的服务器,我惊讶地发现 fail2ban 不支持 IPv6,denyhosts 也不支持。在谷歌上搜索我发现人们普遍推荐:
从我目前收集到的信息来看,禁止在 IPv6 中使用地址与在 IPv4 中有点不同,因为 ISP 不会为用户提供单个地址 (/128),而是整个子网(我目前有一个 /48)。因此,禁止单个 IPv6 地址对攻击无效。我在 ip6tables 和 sshguard 阻止子网攻击检测的主题上进行了高低搜索,但我没有找到任何信息。
有谁知道 sshguard 是否禁止子网进行 IPv6 攻击?
有谁知道如何进行 ip6tables 配置来禁止 IPv6 攻击的子网?
或者有没有人知道比我已经发现的更好的减轻攻击的方法?
PS:我在系统上使用 CentOS 7。
为了攻击服务器,攻击者必须首先知道其 IP 地址。使用 IPv6,您将有如此多的地址可供选择,以至于通过扫描 IP 范围来找到正确的地址是不可行的。
这意味着您只需为接口分配两个不同的 IPv6 地址即可。您让站点的域名始终指向相同的 IP 地址,并且让 sshd 仅侦听新分配的 IP 地址。
更改后,知道您站点的域名和 IP 地址将不会让攻击者能够访问您的 sshd。
使用 ssh 连接时,您当然需要使用辅助主机名。该主机名的熵可能比 IPv6 地址大得多。如果您使用 63 个字母数字字符,那么有人猜测 ssh 的主机名是不可思议的。
如果有人发现 sshd 使用的 IPv6 地址,您只需将 sshd 移动到新的 IPv6 地址并更新 AAAA 记录即可。然后他们必须从头开始。
如果您担心合法的 ssh 用户可能会泄露主机名和/或 IP 地址,那么您可以为每个用户创建一个不同的主机名以使用 ssh 进行访问。最初,我会将所有这些 CNAME 命名为一个主机名,这样就只有一个 AAAA 记录需要更新。
| 归档时间: |
|
| 查看次数: |
2416 次 |
| 最近记录: |