たくさんのマシンが私の中にSSHで接続しようとし続けているときはどうすればいいですか?

0

過去数時間の間、中国からのたくさんのマシンが(おそらく、おそらく)rootとして私のマシンにSSH接続しようとしていて失敗しています。それらのIPのいくつか(すべて?)は以下のとおりです。 

218.65.30.53
221.194.47.221
115.238.245.2
115.238.245.4
221.194.47.239

私はそれらをチェックするためにWebベースのwhoisを使っていて、悪用レポートのアドレスに書いています。どうすればいいですか。私のマシン上でそして一般的には?

ssh  security  bots  attack-vector 
einpoklum
ソース
1
私はあなたが単にSSHを無効にすることはできないと思いますか?私はまたあなたがあなたのサーバーにアクセスすることからそれらのIPアドレスをブロックするのに適切なステップを使用したと思います。鍵認証を使用していない場合は、切り替えます。
Ramhound
1
sshサーバーを標準のポート番号で動かさないでください。秘密鍵を使用するために、ユーザー/パスワードログインを無効にします。あなたのSSHサーバにインターネット経由でアクセス可能なままにしないでください。
Mokubai
@ Ramhound:SSHを無効にすることはできません - 私はそれを使用する必要があります。しかし、パスワードによるログインを無効にすることを考えます。
einpoklum
@木部:私はそれを別の港に移動することを考えています。それはしかし面倒です:-(
einpoklum
2
当面はfail2ban、短期的にはportの変更、そして長期的にはキーへの切り替えを検討してください。
Frank Thomas

回答:

3

できること(そしておそらく間違いなくすべきこと)がいくつかあります。

  1. VPNを実装し、VPN経由のアクセスのみを許可します。これにより攻撃面が大幅に減少します。

  2. Fail2Banまたはそれに相当するものを使用して、フラストレートな総当たり攻撃を行います。

  3. ログオンにパブリック/プライベートキー認証を使用することを要求します。

  4. 許可ユーザーのリスト(および関連するIPアドレス)とともにAllowUsersディレクティブを/ etc / ssh / sshd_configに追加して、許可ユーザーのリストを追加します。

  5. ルートログインを無効にします(または必要に応じて、上記の4のように特定の静的IPアドレスに厳密に制限します)。

davidgo
ソース
「VPNを実装する」とはどういう意味ですか?また、 - rootログインはデフォルトでは無効になっています。また、Fail2Banとは何ですか?
einpoklum
サーバ(または関連するルータ)でOpenVPNを実行してからVPNにリモート接続した場合は、それを介してSSHで接続できます。 IPアドレスを割り当てて、それにSSHを制限することができます。 Fail2Banは、ログを監視し、たとえば、関連付けられたIPに対して一定時間関連付けられたIPからのアクセスをブロックすることができるソフトウェアです。これはDIを失望させる可能性があります
davidgo
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.