Cách ngăn chặn các nỗ lực đăng nhập ssh trái phép

jedo-tm

21:53, 01/02/2023

Tôi đã phát hiện ra rất nhiều lần đăng nhập trái phép vào /var/log/auth.log

...
Ngày 26 tháng 9 22:15:34 tên máy chủ sshd[3072475]: Mật khẩu không thành công cho người dùng người dùng không hợp lệ từ cổng x.y.z.w 51056 ssh2
Ngày 26 tháng 9 22:15:39 tên máy chủ sshd [3072519]: Mật khẩu không thành công cho người dùng người dùng không hợp lệ từ cổng x.y.z.w 62354 ssh2
Ngày 26 tháng 9 22:16:51 tên máy chủ sshd [3072643]: Mật khẩu không thành công cho người dùng người dùng không hợp lệ từ cổng x.y.z.w 10596 ssh2
...

Tôi không hiểu tại sao điều này lại xảy ra, vì tôi đã định cấu hình chuyển tiếp cổng trên bộ định tuyến internet của mình (zyxel VMG3925-B10B) để ví dụ: cổng 54321 được ánh xạ tới cổng 22 trên địa chỉ ip nội bộ của hộp ubuntu của tôi.

Nếu tôi cố gắng đăng nhập ssh từ bên ngoài nhà - vì vậy sử dụng IP bên ngoài cho bất kỳ thứ gì ngoại trừ cổng 54321, tôi sẽ bị từ chối. Vậy tại sao ai đó có thể vượt qua tường lửa bộ định tuyến của tôi đến ip nội bộ của hộp Ubuntu của tôi.

Tôi nhận ra rằng câu hỏi này có khả năng là một câu hỏi dành cho nhà sản xuất bộ định tuyến của tôi. Tuy nhiên, kiến thức về bảo mật của tôi có phần hạn chế và tôi muốn nghe chiến lược của những người khác

142

0 + 0

người phục vụ

Bảo vệ

kết nối mạng

waltinator

22:31, 01/02/2023

Quay lại khi tôi còn làm trong lĩnh vực bảo mật máy tính, tôi LUÔN LUÔN thực hiện quét trinh sát `nmap` của mình trên các cổng 1-65535 (tất cả chúng). Đơn giản chỉ cần sử dụng cổng 54321 không che giấu điều gì. Có một gói gọi là `fail2ban` có thể hữu ích

Hồi đáp

Điểm:2

Ubuntu

Doug Smythies

22:33, 01/02/2023

Bằng cách chọc ngoáy, kẻ xấu đã phát hiện ra rằng cổng bên ngoài 54321 của bạn là cổng truy cập ssh của bạn. Các cổng được liệt kê trong nhật ký của bạn là cổng nguồn, không phải cổng đích. Bạn sẽ thấy rằng các lần thử đăng nhập ssh trên cổng 54321 của bạn xảy ra với tốc độ thấp hơn nhiều so với khi đó là cổng 22.

Bạn có thể giảm thiểu vấn đề thông qua các quy tắc iptables hoặc fail2ban (tuy nhiên nó được đánh vần) hoặc cách khác. Tôi sử dụng mô-đun gần đây trong itpables:

# Danh sách Badguy năng động. Phát hiện và loại bỏ các IP xấu thực hiện các cuộc tấn công bằng mật khẩu trên SSH.
# Khi chúng nằm trong danh sách BADGUY, sau đó DROP tất cả các gói từ chúng.
#$IPTABLES -A INPUT -i $EXTIF -m gần đây --update --hitcount 3 --seconds 5400 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --thông tin cấp log
#$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 5400 --name BADGUY_SSH -j DROP
# Đôi khi làm cho thời gian khóa rất lâu. Điển hình là để cố gắng thoát khỏi các cuộc tấn công phối hợp từ Trung Quốc.
$IPTABLES -A INPUT -i $EXTIF -m recent --mask $BIT_MASK --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level thông tin
$IPTABLES -A INPUT -i $EXTIF -m recent --mask $BIT_MASK --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --mask $BIT_MASK --set --name BADGUY_SSH -j ACCEPT

Bây giờ tôi sử dụng BIT_MASK (hiện tại là "255.255.252.0"), bởi vì những kẻ tấn công đã trở nên thông minh và thường chỉ chuyển sang một địa chỉ ip khác trên cùng một mạng con. $EXTIF là mạng WAN đối diện với NIC của tôi.

0 + 0

jedo-tm

23:34, 01/02/2023

Xin chào @Doug Cảm ơn câu trả lời của bạn. Tôi đã bắt đầu bằng cách cài đặt fail2ban, đây có vẻ là một khởi đầu tốt. Cho đến nay tôi đã dựa vào ufw với một vài quy tắc để mở một số cổng. Tôi thích ý tưởng mà bạn đã đăng, trong đó iptables được sử dụng với bitmask. Tôi đã thử tìm cách thiết lập iptables. Có vẻ như các quy tắc iptables bị xóa khi khởi động lại trừ khi bạn làm điều gì đó như ``` apt-get cài đặt iptables-kiên trì ``` nhưng tôi có thể hỏi cách bạn định cấu hình và duy trì các quy tắc iptables không? Tôi sẽ không thể nhớ điều này. Bạn lưu trữ các tệp có chứa ví dụ . $BIT_MASK và các quy tắc

Hồi đáp

Doug Smythies

03:31, 02/02/2023

Tôi sử dụng tập lệnh để tải các quy tắc iptables của mình sau khi khởi động. Nó được gọi từ một dịch vụ hậu khởi động. Bằng cách sử dụng tập lệnh, tôi cũng có thể xử lý một số nội dung liên quan trực tiếp không thực sự là iptables. Tôi không phải là người hâm mộ `iptables-persistent`.

Hồi đáp

jedo-tm

11:25, 03/02/2023

Cảm ơn @dough :)

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to prevent unauthorized ssh login attempts

TH: วิธีป้องกันการพยายามเข้าสู่ระบบ ssh โดยไม่ได้รับอนุญาต

RO: Cum să preveniți încercările neautorizate de conectare ssh

RU: Как предотвратить несанкционированные попытки входа по ssh

VI: Cách ngăn chặn các nỗ lực đăng nhập ssh trái phép

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.