Làm cách nào để bảo vệ SSH?

Tôi kiểm tra /var/log/secure và tôi có những nhật ký này:

Ngày 9 tháng 7 13:02:56 sshd localhost [30624]: Quản trị viên người dùng không hợp lệ từ cổng 223.196.172.1 37566
Ngày 9 tháng 7 13:02:57 sshd localhost [30624]: Kết nối bị đóng bởi quản trị viên người dùng không hợp lệ 223.196.172.1 cổng 37566 [preauth]
Ngày 9 tháng 7 13:03:05 sshd localhost [30626]: Quản trị viên người dùng không hợp lệ từ cổng 223.196.174.150 61445
Ngày 9 tháng 7 13:03:05 sshd localhost [30626]: Kết nối bị đóng bởi quản trị viên người dùng không hợp lệ 223.196.174.150 cổng 61445 [preauth]
Ngày 9 tháng 7 13:03:16 sshd localhost [30628]: Quản trị viên người dùng không hợp lệ từ cổng 223.196.169.37 62329
Ngày 9 tháng 7 13:03:24 sshd máy chủ cục bộ [30628]: Kết nối bị đóng bởi quản trị viên người dùng không hợp lệ 223.196.169.37 cổng 62329 [preauth]
Ngày 9 tháng 7 13:03:29 sshd localhost [30630]: Quản trị viên người dùng không hợp lệ từ 223.196.169.37 cổng 64099
Ngày 9 tháng 7 13:03:30 sshd localhost [30630]: Kết nối bị đóng bởi quản trị viên người dùng không hợp lệ 223.196.169.37 cổng 64099 [preauth]
Ngày 9 tháng 7 13:03:45 sshd localhost [30632]: Quản trị viên người dùng không hợp lệ từ cổng 223.196.174.150 22816
Ngày 9 tháng 7 13:03:46 sshd localhost [30632]: Kết nối bị đóng bởi quản trị viên người dùng không hợp lệ 223.196.174.150 cổng 22816 [preauth]
Ngày 9 tháng 7 13:06:17 sshd localhost [30637]: Quản trị viên người dùng không hợp lệ từ cổng 223.196.168.33 33176
Ngày 9 tháng 7 13:06:17 sshd máy chủ cục bộ [30637]: Kết nối bị đóng bởi quản trị viên người dùng không hợp lệ 223.196.168.33 cổng 33176 [preauth]
Ngày 9 tháng 7 13:07:09 sshd localhost [30639]: Quản trị viên người dùng không hợp lệ từ 223.196.173.152 cổng 61780
Ngày 9 tháng 7 13:07:25 sshd localhost [30641]: Quản trị viên người dùng không hợp lệ từ cổng 223.196.168.33 54200
Ngày 9 tháng 7 13:07:26 sshd máy chủ cục bộ [30641]: Kết nối bị đóng bởi quản trị viên người dùng không hợp lệ 223.196.168.33 cổng 54200 [preauth]
...

Có vẻ như ai đó đang cố đăng nhập bằng SSH. Tôi tắt đăng nhập bởi người dùng root và bật đăng nhập khóa công khai/riêng tư, nhưng đây có phải là một cuộc tấn công DDoS không? Và nó có sử dụng RAM/CPU không?

Tôi nên làm gì?

Như @Simon Richter đã đề cập, đó chỉ là tiếng ồn xung quanh internet và bạn không nên lo lắng. Một vài điều bạn phải chắc chắn rằng:

• Bạn không cho phép xác thực dựa trên mật khẩu mà chỉ cho phép xác thực khóa công khai
• Bạn có thể vô hiệu hóa các mật mã không an toàn và được thiết kế kém, loại bỏ các mô đun Diffie-Hellman nhỏ và các cải tiến mật mã khác
• Bạn có thể cài đặt fail2ban

Thay đổi cổng sẽ làm cho vấn đề biến mất, nhưng đó là An ninh thông qua sự tối tăm và nó có thể tạo ra ảo tưởng về sự an toàn trong khi không mang lại điều gì.

Dưới đây là một vài khuyến nghị khác xung quanh SSH, cũng như phản đối các lập luận đối với các lập luận "thực tiễn tốt nhất" chính thống.

Bạn đang ở Ấn Độ? Tất cả những địa chỉ IP được liệt kê đều nằm trong khối:

223.196.160.0 - 223.196.191.255   

mà theo cơ sở dữ liệu WHOIS được phân bổ cho

mô tả: Andhra Pradesh State FiberNet Limited
địa chỉ: 10-2-1,Tầng III, Khu phức hợp FDC,AC Guards,Hyderabad,Andhra Pradesh-500028

Một giải pháp ngắn hạn là chặn toàn bộ khối 223.196.160.0/19 tại tường lửa, nhưng đó là việc quản lý vi mô các địa chỉ IP và trở thành một cuộc chiến khó khăn.

Thay vào đó, bạn có thể từ chối TẤT CẢ ssh ngoại trừ các IP nguồn mà bạn biết là đáng tin cậy. Chỉ cần cẩn thận để không khóa bản thân khỏi máy chủ của chính bạn. Nếu bạn không có IP tĩnh, bạn có thể cho phép chặn hoặc có thể xem việc chạy máy chủ VPN trên máy chủ.

Hoặc nếu bạn không cần cho phép các kết nối SSH từ internet, chỉ cần từ chối chúng và chỉ bật lại khi được yêu cầu.

Đây là một tập lệnh đơn giản mà tôi đã viết để chặn tất cả các nỗ lực đăng nhập trái phép vào máy chủ nhà phát triển của mình.

#!/bin/bash

ban=$HOME/banned.txt
b_log=/var/log/banned.log

nhật ký () {
mèo $cấm | uniq >> $b_log
}

l_log() {
cuối cùng | awk '{ in $3 }' | sed -r '/(Thứ Hai|Thứ Ba|Thứ Tư|Thứ Năm|Thứ Sáu|Thứ Bảy|CN|boot|tty2)/d' | sắp xếp | sed '/^$/d' | duy nhất | tee $ban
}

rơi vãi () {
cho x bằng $(cat $ban); làm iptables -A INPUT -s $x -j DROP; xong
}

l_log
rơi vãi
đăng nhập
rm -f $ban
tiếng vang > /var/log/btmp
iptables-save

Nếu bạn đặt tập lệnh chạy qua cron mỗi phút, nó sẽ giảm đáng kể tiếng ồn trong nhật ký của bạn và chặn các IP vi phạm, khiến chúng chỉ có 1 phút để thử dùng vũ lực trước khi bị chặn.

Bạn nên chèn IP của mình và bất kỳ IP nào khác mà bạn truy cập vào máy chủ của mình vào tường lửa của bạn iptables -I INPUT -s xxx.xx.xxx.xx -j CHẤP NHẬN

Nhật ký của tất cả các IP bị cấm sẽ được tạo.

1. Thay đổi của bạn sshd cổng nghe

Nghe có vẻ đơn giản, thay đổi cổng của bạn từ mặc định 22 thành một giá trị tùy chỉnh (ví dụ: 2200) trên một IP công cộng có thể giảm số lần quét cổng từ hàng nghìn lần mỗi ngày xuống còn vài chục lần. Đối với một hướng dẫn xem đây.

Điều đó đang được nói, trong khi điều này làm giảm sự khó chịu khi bị quét cổng, nó KHÔNG LÀM cung cấp bảo mật thực sự. "Bảo mật bằng cách che khuất" là một huyền thoại và không có gì hơn thế.

2. Sử dụng đăng nhập khóa công khai và vô hiệu hóa đăng nhập mật khẩu

Các bot có thể đoán đúng mật khẩu, nhưng chúng chẳng bao giờ sẽ đoán đúng một khóa riêng. Miễn là bạn sử dụng các thuật toán hiện đại và không vô tình làm rò rỉ khóa của mình. Đối với một hướng dẫn xem đây.

Lưu ý rằng điều này không có nghĩa là bạn sẽ không thể đăng nhập từ bất kỳ máy ngẫu nhiên nào, trừ khi bạn mang theo chìa khóa bên mình (bạn cần bảo mật thông qua một số cách khác).

3. Sử dụng fail2ban

Nếu họ thất bại 5 lần, cấm họ thử lại trong một ngày hoặc đại loại như vậy. Điều đó sẽ cho họ thấy. Rất hiệu quả chống lại các nỗ lực vũ phu. Đối với một hướng dẫn xem đây.

Nhược điểm là bạn có thể tự nhốt mình nếu một ngày nào đó bạn bị run tay (say rượu hay gì đó, tôi không biết).

4. Cấm trước danh sách các IP được biết đến với mục đích lạm dụng

Các nguồn như Lạm dụngIPDB duy trì danh sách lớn các IP độc hại đã biết có thể truy cập qua API. Bạn sẽ cần một khóa API để sử dụng nó, nhưng bạn có thể đăng ký một tài khoản miễn phí đủ dễ dàng. Kéo danh sách và sử dụng một cái gì đó như iptables để cấm hàng loạt các IP đã biết đó. Thiết lập một công việc định kỳ để tự động hóa nó theo định kỳ để có hiệu quả tốt nhất. Đây là một kịch bản rất đơn giản tôi đã viết (và cá nhân tôi đang sử dụng) để làm điều đó. Vui lòng sử dụng nó làm tài liệu tham khảo, nhưng KHÔNG SỬ DỤNG NÓ TRONG SẢN XUẤT.

Theo kinh nghiệm cá nhân của tôi, phương pháp này cũng hiệu quả không kém (nếu không muốn nói là hơn) phương pháp #3.

Cá nhân tôi sử dụng tất cả 4 phương pháp được liệt kê ở trên và VPS của tôi có thể nhận được một hoặc hai lần thử đăng nhập độc hại vào nhật ký bảo mật của tôi trong một tháng tồi tệ. Đây là lịch sử đánh chặn của iptables thông qua phương pháp #4:

$ abip-hist
Chuỗi abip-ban (1 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn
  362 14480 THẢ tất cả -- * * 45.143.200.6 0.0.0.0/0
  307 12280 THẢ tất cả -- * * 185.156.73.104 0.0.0.0/0
  288 12672 THẢ tất cả -- * * 212.133.164.75 0.0.0.0/0
  277 19911 THẢ tất cả -- * * 146.88.240.4 0.0.0.0/0
  250 11000 THẢ tất cả -- * * 212.133.164.14 0.0.0.0/0
  230 9200 THẢ tất cả -- * * 45.146.164.213 0.0.0.0/0
  215 8600 THẢ tất cả -- * * 185.156.73.67 0.0.0.0/0
  214 8560 THẢ tất cả -- * * 5.188.206.18 0.0.0.0/0
  202 8080 THẢ tất cả -- * * 193.27.228.63 0.0.0.0/0
  201 8040 THẢ tất cả -- * * 193.27.228.64 0.0.0.0/0
  199 7960 THẢ tất cả -- * * 193.27.228.59 0.0.0.0/0
  197 7880 THẢ tất cả -- * * 193.27.228.65 0.0.0.0/0
  197 7880 THẢ tất cả -- * * 193.27.228.61 0.0.0.0/0
  196 7840 THẢ tất cả -- * * 45.135.232.119 0.0.0.0/0
  196 7840 THẢ tất cả -- * * 193.27.228.60 0.0.0.0/0
  196 7840 THẢ tất cả -- * * 193.27.228.58 0.0.0.0/0
  189 7560 THẢ tất cả -- * * 45.146.165.149 0.0.0.0/0
  184 7360 THẢ tất cả -- * * 45.155.205.247 0.0.0.0/0
  184 7360 THẢ tất cả -- * * 195.54.160.228 0.0.0.0/0
  182 7280 THẢ tất cả -- * * 45.143.203.12 0.0.0.0/0
  181 7240 THẢ tất cả -- * * 45.141.84.57 0.0.0.0/0
  180 7200 THẢ tất cả -- * * 45.135.232.85 0.0.0.0/0
  176 7040 THẢ tất cả -- * * 45.146.165.148 0.0.0.0/0
...
điều này diễn ra trong 1700 dòng ...

$ thời gian hoạt động
06:36:49 lên 16 ngày, 15:24

1. Chỉ sử dụng xác thực dựa trên khóa. Nhiều bot chỉ tấn công các hệ thống dựa trên mật khẩu. Dù sao thì việc sử dụng xác thực dựa trên mật khẩu cũng là một ý tưởng tồi.
2. Sử dụng https://www.sshguard.net/ : nó chặn IP sau một vài lần đăng nhập không thành công.
3. Sử dụng cổng ngẫu nhiên (không phải 22), nó sẽ dừng một số bot.
4. Đảm bảo hệ thống của bạn không cho phép đăng nhập root
5. Nếu bạn chỉ đăng nhập từ nhà của mình, hãy xem xét chỉ mở SSH cho IP/ISP hoặc quốc gia của bạn.

Như các câu trả lời khác đã đề cập, bạn không cần phải lo lắng nhiều về điều đó, nhưng nếu bạn muốn thêm một lớp bảo mật khác, bạn có thể thử sử dụng tính năng gõ cổng.

Ý tưởng là giữ cho cổng ssh luôn đóng và chỉ mở nó cho ips thực hiện một chuỗi hoạt động cụ thể trước đó, chẳng hạn như:

cổng đồng bộ 1000
cổng đồng bộ 2000
cổng đồng bộ 3000
# cổng ssh hiện đang mở
suỵt...

có thể biết thêm chi tiết tại đây: https://www.rapid7.com/blog/post/2017/10/04/how-to-secure-ssh-server-using-port-knocking-on-ubuntu-linux/