RuWeb.net - хостинг и регистрация доменных имен
ГЛАВНАЯ ХОСТИНГ ДОМЕНЫ VDS СЕРВЕР ИНФОРМАЦИЯ КЛИЕНТЫ ПРАВИЛА ОПЛАТА ЗАКАЗ ФОРУМ
go to bottom

Версия для печати | Подписаться | Добавить в избранное  
Автор: Тема: Защита SSH от взлома
timru
Administrator
********




Сообщения: 48
Зарегистрирован: 12.10.2008
Пользователя нет на форуме

[*] когда размещено 30.9.2014 в 15:16
Защита SSH от взлома


Меня пытаются взломать, вижу у себя в логах такое

Sep 26 21:00:15 357 sshd[27583]: error: PAM: authentication error for illegal user admin from 188.32.20.178
Sep 26 21:00:16 357 sshd[27586]: error: PAM: authentication error for illegal user conf from 92.127.203.245
Sep 26 21:00:24 357 sshd[27589]: error: PAM: authentication error for illegal user user from 171.211.195.54
Sep 26 21:00:26 357 sshd[27592]: error: PAM: authentication error for illegal user root from 188.255.172.243
Sep 26 21:00:32 357 sshd[27595]: error: PAM: authentication error for illegal user support from 177.105.235.47

Что делать?

Прежде всего, не паниковать. Ничего страшного. Подобные сообщения можно найти на любом сервере с белым IP. Злоумышленники массово сканируют подсети, т.е. берут например 185.12.92.0/24 и пробуют подключиться к 22-му порту на каждом IP этой подсети. Если подключение произошло успешно - перебирают простые комбинации логинов/паролей. Т.е. например root:root, user:user, admin:admin и т.д. Если пароли на вашем сервере хоть чуть-чуть сложные пароли, волноваться не о чем. Проблем здесь только 2:
1) если у вас слабый процессор, SSH в момент перебора может давать ощутимую нагрузку;
2) если вы пытаетесь войти по SSH в момент перебора, то может не получиться из-за превышения максимального числа подключений к SSH.
Решается все это очень просто, достаточно перевесить SSH на нестандартный порт, например с 22 на 3322. Конечно, чисто технически кто-то может просканировать ваш сервер с помощью nmap и найти, на каком порту висит SSH. Но на практике этого не происходит: не получив ответа с 22-го порта бот, просто переходит к следующему IP.


Есть программы типа fail2ban, стоит ли их использовать?

Скорее всего, fail2ban вам не нужен. В каких случаях он может понадобится:
1) вам обязательно нужно чтобы SSH висел именно на 22-м порту (например к нему подсоединяется какое-то стороннее ПО, у которого нельзя порт поменять);
2) у вас на сервере несколько сотен пользователей, и у всех включен ssh (это кстати будет нарушением наших правил - шелл-хостинг запрещен), соответственно наверняка среди них найдется какой-нибудь vasya, который захочет облегчить себе жизнь и поставит пароль vasya;
3) имеются реальные основания полагать, что брутят вас какие-то конкретные недоброжелатели, а не залетные боты (например смена порта не помогла); но тут уже стоит подумать не о fail2ban, а например об ограничении подключения к ssh только для определенных IP.


А если нужно защитить FTP?

Все вышесказанное применимо и к FTP. Его тоже можно перевесить на другой порт.



[Отредактировано 30.9.2014 кто timru]
Просмотреть Профиль Пользователя Просмотреть все сообщения этого пользователя Отправить пользователю личное сообщение

Powered by XMB
Разработано Группа XMB © 2001-2008
[запросов: 21] [PHP: 72.2% - SQL: 27.8%]
go to top
Центр поддержки (круглосуточно)
https://ruweb.net/support/
Москва(499) 502-44-31
Санкт-Петербург(812) 336-42-55
Нижний Новгород(831) 411-12-44
Екатеринбург(343) 204-71-16
© 2002-2013 ЗАО "РУВЕБ"

Дизайн - CredoDesign
Rambler\'s Top100 Рейтинг@Mail.ru
RuWeb.net - Хостинг веб-сайтов (первый месяц - бесплатно). Регистрация доменов.