දිනකට කඩිනම් උත්සාහයන් සිය ගණනක් ලබා ගැනීම සාමාන්‍ය දෙයක්ද?

196

මම මගේ සේවාදායකය පරික්ෂා කර බැලූ විට මට දිනකට /var/log/auth.logඅසාර්ථක මුරපද / කඩාවැටීමේ උත්සාහයන් 500 කට වඩා ලැබෙන බව මට පෙනී ගියේය! මගේ වෙබ් අඩවිය කුඩා වන අතර එහි URL අපැහැදිලි ය. මෙය සාමාන්‍ය දෙයක්ද? මම යම් ක්‍රියාමාර්ගයක් ගත යුතුද?

linux  security  ssh  firewall 
කයිල්
source
2
අප සියලු අනවශ්‍ය බාහිර වරායන් අගුළු දමන තුරු, මට මතකයි අපට බොහෝ හැක් උත්සාහයන් ලැබුණා පමණක් නොව, එක් දිනක් එය කොතරම් නරකද යත්, විවිධ රටවල් දෙකකින් අපව කපා කොටා ඇත - එකවර! ඉතින් ඔව්, කඩාවැටීමේ උත්සාහයන් 100 ක් පරිපූර්ණයි.
ජැන්ගෝ රයින්හාර්ඩ්
91
තත්පර 16 කට වරක් නව ප්‍රහාරක “අනුක්‍රමයක්” අත්විඳින සේවාදායකයන් අප සතුව ඇත. තනි අනුක්‍රමයක් යනු සාමාන්‍යයෙන් විවිධ වරායන් හරහා උත්සාහයන් 100 ක් පමණ වන කණ්ඩායමකි. එක් දිනක් පයින් ගැසීම සඳහා මම අපේ ෆයර්වෝලයෙන් පිටත නොබැඳි සේවාදායකයක් සක්‍රිය කළෙමි; එය ක්‍රියාත්මක වීමට මිනිත්තු 10 කටත් වඩා අඩු කාලයක් ගතවේ. ලක්ෂ්‍යය නම් අන්තර්ජාලය සැබවින්ම වනාන්තරයකි; කෑමට නොගැනීමට උත්සාහ කරන්න.
NotMe
2
මගේ ප්‍රශ්නය වැරදි වෙබ් අඩවියට පළ කළ බව මට පෙනේ: superuser.com/questions/200896/…
Justin C
6
අවශ්‍ය වන පොදු වරායන්හි මෙය සාමාන්‍ය දෙයක් බව මම අනෙක් අය සමඟ එකඟ වන අතර (80, 443) පෙරනිමි වරාය 22 සිට 6022 වැනි අපැහැදිලි දෙයකට වෙනස් කිරීමෙන් මගේ SSH වරායට එරෙහි මෙම උත්සාහයන් මම ප්‍රායෝගිකව ඉවත් කළෙමි. එසේ කිරීමෙන් පමණක්, එම ආකාරයේ ප්‍රහාරවලින් 99% ක් පමණ ඉවත් කර ඇත.
කිලෝ
2
ඔබ ඔබේ SSH වරාය වෙනස් කිරීමට යන්නේ නම්, එය 1024 වරායට පහළින් තබා ගැනීමට ආරක්ෂක හේතු තිබේ (මූලයට පමණක් වරාය විවෘත කළ හැකිය <1024, එබැවින් එය SSH පැහැරගෙන යන වෙනත් පරිශීලකයින්ගෙන් ඔබව ආරක්ෂා කරයි).
බ්‍රෙන්ඩන් ලෝන්ග්

Answers:

207

වර්තමාන අන්තර්ජාලය තුළ මෙය සාමාන්‍ය දෙයකි. සමස්ත IP ජාලයන්හි ඔවුන් සොයා ගන්නා සෑම සේවාදායකයක් වෙතම පිවිසීමට උත්සාහ කරන බොට්නෙට් සමූහයක් ඇත. සාමාන්‍යයෙන්, ඔවුන් සුප්‍රසිද්ධ ගිණුම් වලට (මූල හෝ ඇතැම් යෙදුම් ගිණුම් වැනි) සරල ශබ්ද කෝෂ ප්‍රහාර භාවිතා කරයි.

ප්‍රහාරක ඉලක්ක ගූගල් හෝ ඩීඑන්එස් ඇතුළත් කිරීම් හරහා සොයාගත නොහැකි නමුත් ප්‍රහාරකයින් සෑම අයිපී ලිපිනයක්ම එක් උප ජාලයකින් උත්සාහ කරයි (උදා: දන්නා මූල සේවාදායක සත්කාරක සමාගම්). එබැවින් ඔබගේ URL (එබැවින් DNS ප්‍රවේශය) අපැහැදිලි වීම වැදගත් නොවේ.

එය එතරම් වැදගත් වන්නේ එබැවිනි:

  • SSH හි මූල-පිවිසුම තහනම් කරන්න ( කෙසේද )
  • සෑම තැනකම ශක්තිමත් මුරපද භාවිතා කරන්න (ඔබගේ වෙබ් යෙදුම්වලද)
  • SSH සඳහා, හැකි නම් පොදු යතුරු සත්‍යාපනය භාවිතා කර මුරපද සත්‍යාපනය සම්පූර්ණයෙන්ම අක්‍රීය කරන්න ( කෙසේද )

මීට අමතරව, ඔබට ෆයිල් 2 බෑන් ස්ථාපනය කළ හැකි අතර එය ස්වයංක්‍රීයව පරිලෝකනය කරන අතර එය කිසියම් අසාර්ථක පිවිසුම් උත්සාහයක් අයිපී එකකින් සොයාගත හොත්, එය /etc/hosts.denyමිනිත්තු කිහිපයක් සඳහා ප්‍රහාරකයාට අගුලු දැමීම සඳහා එම අයිපී හෝ අයිප්ටේබල් / නෙට්ෆිල්ටරයට එක් කරයි .

SSH ප්‍රහාරයන්ට අමතරව, අවදානමට ලක්විය හැකි වෙබ් යෙදුම් සඳහා (සමහර බ්ලොග්කරණ යෙදුම්, CMS, phpmyadmin, ආදිය) ඔබේ වෙබ් සේවාදායකය පරිලෝකනය කිරීම සාමාන්‍ය දෙයක් බවට පත්ව ඇත. එබැවින් ඒවා යාවත්කාලීනව තබා ගැනීමටත් ආරක්ෂිතව වින්‍යාස කිරීමටත් වග බලා ගන්න!

හොල්ගර් යන්තම්
source
21
Fail2ban වැනි යෙදුම් උදේ වරුවේ මෝඩ වේලාවන්හිදී ඔබේ සේවාදායකයට පහර දීම වළක්වා ගැනීමට 'තාවකාලිකව' උදව් කළ හැකිය :-) පැය 24 ක් සඳහා වැරදි උත්සාහයන් 3 ක් තහනම් කිරීමට මා සතුව ඇත.
emtunc
46
Ssh වරාය 22 සිට 222 දක්වා ගෙන යන්න. එය හොඳින් ක්‍රියාත්මක වේ.
ටොම් ඕ කොනර්
40
+1, පොදු යතුරු සත්‍යාපනය පමණි :)
0xC0000022L
3
@STATUS_ACCESS_DENIED: fail2ban විසින් ගනු ලබන ක්‍රියා ක්‍රියාත්මක කිරීමට ඇති ෂෙල් විධාන ලැයිස්තුවක් පමණි. එබැවින් ඕනෑම අභිරුචි වින්‍යාසයක් සමඟ නිසියාකාරව වැඩ කිරීම ඇත්තෙන්ම නම්‍යශීලී සහ පහසුය. හොඳම සඳහන එය බාගත කර බැලීම ය action.d/iptables.conf.
mattdm
4
මේ ආකාරයට පහර දෙන්නන් අවහිර කිරීම කාලය නාස්තියකි. ඔබ root පිවිසුම අක්‍රීය කළහොත්, මුරපදය පමණක් නොව, ඔබේ නිවැරදි පිවිසුම් නම කිසිවෙකු අනුමාන නොකිරීමට හොඳ අවස්ථාවක් තිබේ. SSH විසින් දැනටමත් මුරපද ඉල්ලීම් සීමා කර ඇත, එබැවින් ඔවුන් ඔබේ පරිශීලක නාමය දැන සිටියත් (අහඹු බොට්ස් එසේ නොවේ), ඔබට හොඳ මුරපදයක් තිබේ නම්, ඔවුන් එය කිසි විටෙකත් අනුමාන නොකරනු ඇත.
බ්‍රෙන්ඩන් ලෝන්ග්
58

100 ක් පමණක් හොඳයි ... පසුගිය මාසයේ මගේ සේවාදායකයක් 40k අසාර්ථක උත්සාහයන් ඇති බව මට පෙනී ගියේය. මම ඔවුන්ට කුමන්ත්‍රණය කිරීමේ කරදරයට මුහුණ දුන්නා: සිතියම

මම ssh වරාය වෙනස් කර වරාය තට්ටු කිරීම ක්‍රියාත්මක කළ පසු, එම සංඛ්‍යාව 0 :-) දක්වා පහත වැටුණි

බාට් ඩි වොස්
source
2
ලස්සන සිතියම. මෙය කරන්නේ කෙසේදැයි දැන ගැනීමට මම කැමතියි!
jftuga
9
ftjftuga මම මුලින්ම සියලුම අයිපී ල logs ු-සටහන් වලින් ලබා ගත්තා. grep 'Failed password' /var/log/secure* | grep sshd | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort | uniq(ඔබට අනුපිටපත් වලට ඉඩ දීමට අවශ්‍ය නම් අවසානයේ | uniq ඉවත් කරන්න). එවිට ඔබට ඒවා CSV එකක දමා zeemaps.com වෙත උඩුගත කළ හැකිය. වඩා හොඳ සිතියම් මම දැක ඇත්තෙමි, එහිදී ඔවුන් සිතියම වර්ණ ගැන්වීම සඳහා ගණන් කිරීම භාවිතා කරනු ඇත (එක් රටකට උත්සාහයන් ගණන සඳහා කොළ සිට රතු දක්වා) නමුත් මම එය සොයාගෙන නැත
බාර්ට් ඩි වොස්
3
'ක්‍රියාත්මක කළ වරාය තට්ටු කිරීම' යන්නෙන් ඔබ අදහස් කරන්නේ කුමක්ද? මෙය කිරීමට මට apt-get හරහා ස්ථාපනය කළ හැකි යෙදුමක් තිබේද? අංකය 0 දක්වා පහත වැටීම හොඳයි වගේ
18
අපැහැදිලි භාවය හරහා ආරක්ෂාව නරක අතට හැරේ. එය සමස්ත උපාය මාර්ගයට වඩා සමස්ත උපාය මාර්ගයේ කොටසක් වන තාක් කල් එය ඉතා හොඳයි . සියල්ලට පසු, අපැහැදිලි නූලක් හැර වෙනත් මුරපදයක් යනු කුමක්ද?
ජොයෙල් කොයෙල්
5
O ජොයෙල් කොයෙල්, එය රහසිගත නූලක් වන අතර එය අපැහැදිලි ගැටළු හරහා බොහෝ ආරක්ෂාවට පටහැනිව - අපැහැදිලි නමුත් අවශ්‍යයෙන්ම රහසිගත ක්‍රියාවලියක් නොවේ.
tobyodavies
29

පොදු යතුරු සත්‍යාපනය කිරීමට ඉඩ දීම සහ මූල පිවිසුම් තහනම් කිරීම හැරුණු විට මම "ටාර්පිට්" එකක් භාවිතා කරමි.

දී netfilterයම් කෙනෙක් recentඔබ (සමග භාවිතා කළ හැකි වන මොඩියුලය, INPUTදාම):

iptables -A INPUT -i if0 -p tcp --dport 22 -m state --state NEW -m recent --set --name tarpit --rsource
iptables -A INPUT -i if0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 6 --name tarpit --rsource -j DROP
iptables -A INPUT -i if0 -p tcp --dport 22 -j ACCEPT

එය කරන්නේ, වරාය 22 හා සම්බන්ධ වීමට ගන්නා සෑම උත්සාහයක්ම recentඅයිපී සමඟ මොඩියුලය සහ "ටාර්පිට්" යන නමින් වෙනත් දේවල් ලැයිස්තුගත කර තිබීමයි (ඔබ කුතුහලයෙන් සිටී නම්, බලන්න /proc/net/xt_recent/tarpit). නිසැකවම ඔබට වෙනත් නම් භාවිතා කළ හැකිය.

IP ලැයිස්තුගත කිරීමට හෝ ඉවත් කිරීමට භාවිතා කරන්න:

echo "+123.123.123.123" > /proc/net/xt_recent/tarpit
echo "-123.123.123.123" > /proc/net/xt_recent/tarpit

මෙම අනුපාතය තත්පර 300 කින් 5 ක් දක්වා සීමා කරයි. දැනට පවතින සම්බන්ධතාවයක් ඇති පරිශීලකයින්ට එම සීමාවෙන් කරදර නොවන බව කරුණාවෙන් සලකන්න, මන්ද ඔවුන්ට දැනටමත් ස්ථාපිත සම්බන්ධතාවයක් ඇති අතර තවත් බොහෝ දේ නිර්මාණය කිරීමට ඉඩ දී ඇත (අනුපාත සීමාවට වඩා ඉහළින්).

ඔබේ රුචිකත්වයට අනුව නීති සකසන්න, නමුත් ඒවා එම අනුපිළිවෙලට එක් කිරීමට වග බලා ගන්න (එනම් එකතු කිරීමේදී ඒවා මෙම අනුපිළිවෙලෙහි භාවිතා කරන්න, පසුව ප්‍රතිලෝම අනුපිළිවෙලට ඇතුළත් කරන විට).

මෙය ශබ්දය විශාල ලෙස අඩු කරයි. වරාය වෙනස් කිරීමේ ආරක්‍ෂාව මෙන් නොව සැබෑ ආරක්ෂාව (තිරිසන් බලයට එරෙහිව) ද එය සපයයි. කෙසේ වෙතත්, ඔබේ පරිසරය තුළ වරාය කළ හැකි නම් එය වෙනස් කිරීමට මම තවමත් නිර්දේශ කරමි. එය ශබ්ද මට්ටමද අඩු කරයි ...

ඔබට තවමත් මෙය fail2ban සමඟ ඒකාබද්ධ කළ හැකිය, මම එය නොමැතිව හොඳින් ධාවනය කර ඇති නමුත් ඉහත නීති පමණක් ඇත.

සංස්කරණය කරන්න:

මෙය කිරීමෙන් ඔබේ ආත්මය අගුළු දැමිය හැකිය, එබැවින් ඔබට පහත දැක්වෙන දේ වැනි යමක් එක් කළ හැකිය, එමඟින් විශේෂිත වරායකට තට්ටු කිරීමෙන් ඔබට තහනම ඉවත් කළ හැකිය:

iptables -A INPUT -i if0 -p tcp --dport <knockport> -m state --state NEW -m recent --name tarpit --remove
0xC0000022L
source
2
මම මෙය භාවිතා කර ඉඳහිට මාව අවහිර කිරීමට කළමනාකරණය කරමි, එබැවින් ඔබේ තහනම ඉවත් කිරීම සඳහා ඔබට "තට්ටු" කළ හැකි වෙනත් වරායක් සැකසීමට කැමතියි.
බෙන්ලුම්ලි
en බෙන්ලම්ලි: හොඳ කරුණක්. පෙරනිමි වරාය වෙනස් කිරීමට වරාය තට්ටු කිරීම සමානවම ප්‍රයෝජනවත් වේ - හෝ ඒ දෙකම ඒකාබද්ධව ...
0xC0000022L
en බෙන්ලුම්ලි: ඔබේ අදහස දුටුවා (දැන් සෑම් විසින් ඉවත් කර ඇත). පිළිතුර සංස්කරණය / වැඩිදියුණු වුවහොත් මට කමක් නැත;)
0xC0000022L
15

ඔබට fail2ban හෝ ඔබේ IP වෙත SSH අගුළු දැමීම වැනි සමාන ක්‍රම ක්‍රියාත්මක කළ හැකිය . කනගාටුදායක ලෙස බොට්ස් සෑම විටම තිරිසන් බලවේග ප්‍රවේශය ලබා ගැනීමට උත්සාහ කරන බැවින් එය සාමාන්‍ය දෙයකි, ඔබට හොඳ මුරපදයක් ඇති බවට වග බලා ගත යුතුය.

යාකොබ්
source
3
ඔබ SSH භාවිතා කරන්නේ නම්, පොදු යතුරු සත්‍යාපනය සලකා බලන්න. මුරපද සත්‍යාපනයට වඩා මෙය ටිකක් ආරක්ෂිතයි.
පිස්ක්වර්
12

ඔව් . වර්තමානයේ එය සාමාන්‍ය දෙයකි.

හැකි නම් පරිපාලනමය අරමුණු සඳහා කරුණාකර පොදු යතුරු සත්‍යාපනය පමණක් භාවිතා කරන්න. ඔබගේ සේවා ස්ථානයේ පුද්ගලික යතුරක් ජනනය කරන්න:

$ ssh-keygen -t dsa

Ser / .ssh / id_dsa.pub හි අන්තර්ගතය ඔබට සේවාදායකයන්ට පිටපත් කරන්න ~ / .ssh / Author_keys (සහ /root/.ssh/authorized_keys, ඔබට සෘජු මූල පිවිසුම අවශ්‍ය නම්).

පොදු යතුරු සත්‍යාපනය පමණක් පිළිගැනීමට ඔබේ සේවාදායකයන් / etc / ssh / sshd_config වින්‍යාස කරන්න :

PubkeyAuthentication yes
PasswordAuthentication no
PermitRootLogin without-password

ඔබට වැඩිපුර සේවාදායක තිබේ නම්, ඔබට පොදු යතුරු සහ වින්‍යාසයන් ක්‍රියාත්මක කිරීමට රූකඩ භාවිතා කළ හැකිය .

බවට පෙනුම Denyhosts හා fail2ban නැවත නැවතත් SSH පිවිසුම් උත්සාහයන් අවහිර බලන්න Snort ඔබ පූර්ණ ගන්නන් / IPS අවශ්ය නම්.

jkj
source
2
ඔබේ සේවාදායකයට ෂෙල් ප්‍රවේශය සඳහා SSH හි පොදු යතුරු සත්‍යාපනය භාවිතා කිරීම මම නිර්දේශ නොකරමි. ඔබගේ සේවා ස්ථානය සම්මුතියකට හෝ ඊටත් වඩා සොරකම් කර ඇත්නම්, මුරපදයක අවශ්‍යතාවයකින් තොරව යමෙකුට දැන් ඔබේ සේවාදායකයට විවෘත ප්‍රවේශයක් ඇත. මුරපදයක් අවශ්‍ය නොවී වෙනත් පද්ධතියකට SSH ප්‍රවේශය ලබා ගැනීමට ඔබට ස්ක්‍රිප්ටයක් හෝ වැඩසටහනක් වැනි දෙයක් අවශ්‍ය වන අවස්ථාවන් සඳහා පොදු යතුරු සත්‍යාපනය වැඩි වන අතර එමඟින් ඔබේ ස්ක්‍රිප්ට් / වැඩසටහනේ සරල පෙළ මුරපද ඇතුළත් කිරීමට අවශ්‍ය නොවේ.
ලියාපදිංචි පරිශීලක
5
Le මකාදැමුණු ගිණුම: ඔබට SSH පුද්ගලික යතුර සඳහා මුරපදයක් සැකසිය හැකිය.
ෆිල් කොහෙන්
2
"ලියාපදිංචි පරිශීලකයාගේ" ප්‍රකාශය නොමඟ යවයි. පැහැදිලි කිරීම සඳහා: සෑම විටම ඔබේ පුද්ගලික යතුර මත හොඳ මුරපදයක් සකසන්න, පුද්ගලික යතුර කිසිදු සේවාදායකයක ගබඩා නොකරන්න. පුද්ගලික යතුර ඔබේම වැඩපොළක තබා ගන්න. ඔබ ssh-agent වැඩසටහනකට යතුර එකතු කර ඔබගේ මුරපදය ඇතුළත් කළ පසු, ඔබේ මුරපදය නැවත ඇතුළත් නොකර, පොදු යතුර ස්ථාපනය කර ඇති සෑම පද්ධතියකටම පිවිසිය හැකිය. ඔබේ ssh සේවාදායකයා තුළ නියෝජිත-යොමු කිරීම සක්‍රීය කරන්න එවිට ඔබට සේවාදායකයේ සිට සේවාදායකයට පිවිසිය හැකිය. ඔබගේ පුද්ගලික යතුර සොරකම් කිරීම නරක ය, නමුත් හොඳ මුරපදයක් සමඟ එය සොරකම් කළ මුරපදයක් තරම් නරක නැත.
මාර්ටිජන් හීමල්ස්
හරි, පරිපාලකගේ පුද්ගලික යතුරු සංකේතාංකනය කර ගබඩා කිරීමට පවා නොසිතන්න.
yrk
8

http://denyhosts.sourceforge.net/ භාවිතා කරන්න

ඔව්, ඔබ පොදු යතුරු සත්‍යාපනය භාවිතා කළ යුතු අතර මුරපද සත්‍යාපනය අක්‍රීය කරන්න.

අංක 5
source
මුරපද සත්‍යාපනය අක්‍රීය කිරීම සැමවිටම ශක්‍ය විසඳුමක් නොවේ.
පබ්ලිකර්ට්
6

උත්සාහයන් යාන්ත්‍රික වී ඇති බැවින් සංඛ්‍යා හරි යැයි පෙනේ (ඔව් ඒවා සමහර වෙබ් අඩවි හා සසඳන විට ඉහළ මට්ටමක පවතින අතර අනෙක් ඒවාට සාපේක්ෂව අඩුය). ඔබ සාමාන්‍යයෙන් කළ යුතු පියවර ගත යුතුය: ඔබ ප්‍රහාරයක් හඳුනා නොගත් විට පවා ඔබේ වෙබ් අඩවි සෑම දිනකම ප්‍රහාර ඉලක්ක ලෙස සලකයි; ප්‍රහාරයක් හඳුනා නොගැනීම, එය නොපවතින බවක් අදහස් නොවේ .

ඇඩමෝ
source
6

මම කියන්නේ 500 ක් පමණක් ලබා ගැනීම අඩු මට්ටමක පවතින බවයි.

කලින් සේවා යෝජකයෙකුගෙන්, පරිගණක ආරක්ෂණ පර්යේෂකයෙකු නිරන්තරයෙන් බිඳවැටීමේ උත්සාහය හැඳින්වූයේ “ කොස්මික් ශබ්දයට සමාන අන්තර්ජාලය ” යනුවෙනි. ඔහු එය විස්තර කළේ අන්තර්ජාලයේ පද්ධති සොයමින් සිටින අනිෂ්ට ගමනාගමනයේ අඛණ්ඩ, අඛණ්ඩ ප්‍රවාහයක් ලෙස වන අතර පද්ධතිය පැහැර ගැනීමට උත්සාහ කිරීම සඳහා ස්ක්‍රිප්ට් ස්වයංක්‍රීයව ගසාකයි. බොට්-නෙට් සහ අනෙකුත් අනිෂ්ට පද්ධති SETI වැනි අවදානමට ලක්විය හැකි පද්ධති සඳහා නිරන්තරයෙන් අන්තර්ජාලය පරිලෝකනය කර නැවත ගලවා ගනු ඇත.

ජේම්ස් ෂෙක්
source
6

ඔව්,

මෙය පොදු ය, නමුත් එයින් අදහස් කරන්නේ ඔබ හොඳ සටනක් නොකළ යුතු බව නොවේ. ඔබේ සේවාදායකය වඩාත් ආරක්‍ෂිත කළ හැකි ආකාරය පිළිබඳ පියවර කිහිපයක් මෙන්න.

DNS ආශ්‍රිත IP ලිපින වලින් වළකින්න

ඩොමේන් නාම හා සම්බන්ධ ඕනෑම IP ලිපින සඳහා SSH ප්‍රවේශය අක්‍රීය කිරීමෙන් ඔබට හවුල් හෝ සංචිත පරිසරයන් තුළ මෙම සංඛ්‍යාව විශාල වශයෙන් අඩු කළ හැකිය. ලැයිස්තුගත නොකළ වසම් නොවන IP ලිපින වලට මෙම වර්ගයේ ගමනාගමනය අඩුවෙන් ලැබෙනු ඇත, එබැවින් ලැයිස්තුගත නොකළ IP එකක් මිලදී ගෙන SSH ප්‍රවේශය සඳහා පමණක් මෙම IP භාවිතා කරන්න.

සියලුම SSH ප්‍රවේශය සඳහා VPN භාවිතා කරන්න

ඔබ ඔබේ සේවාදායක පරිසරය තුළ පුද්ගලික ජාලයකට IPsec / VPN ක්‍රියාත්මක කළ හැකි පරිසරයක සිටී නම් මෙය වඩාත් සුදුසු වේ. සියලුම SSH අන්තර්ජාල ප්‍රවේශය අක්‍රීය කරන්න, ඔබට ඒකාබද්ධ විදුලි පහන් විසඳුමක් ඇති බවට වග බලා ගන්න. ඔබගේ VPN සැකසීම, සහ ඔබේ VPN වෙතින් SSH ප්‍රවේශයට පමණක් ඉඩ දෙන්න.

SSH ප්‍රවේශය සඳහා IP ලිපින නීති ක්‍රියාත්මක කරන්න

VLAN ඔබේ රවුටරය වින්‍යාස කිරීමට විකල්පයක් නොවේ නම් හෝ ෆයර්වෝල් රීති දන්නා IP ලිපින පරාසයකින් SSH සම්බන්ධතාවයන්ට පමණක් ඉඩ ලබා දේ.

ඔබ මෙම පියවරයන් අනුගමනය කරන්නේ නම්, SSH හරහා සේවාදායකයට ප්‍රවේශය ලබා ගැනීම සඳහා යමෙකු ඔබේ සත්කාරක සමාගම් ජාලය සමඟ සම්මුතියක් ඇති කර ගත යුතු බව දැන දැනත් රාත්‍රියේ ඔබට වඩාත් පහසු නින්දක් ලැබෙනු ඇත.

බෙන් ඩිමොට්
source
5

අසාර්ථක SSH සම්බන්ධතා සිය ගණනක් දැකීම සාමාන්‍ය දෙයකි.

ඔබට විකල්පයක් තිබේ නම්, මම මගේ SSH වරාය සම්මත නොවන දෙයකට වෙනස් කරමි. එය ඔබගේ සේවාදායකය තවදුරටත් ආරක්‍ෂිත කිරීමට අවශ්‍ය නොවේ, නමුත් එය නිසැකවම ල logs ු-සටහන් පිරිසිදු කරයි (තවද ඕනෑම අයෙකු හිතාමතාම කඩා වැදීමට උත්සාහ කරන අයුරු ඔබට දැකගත හැකිය!)

ඒඩ්‍රියන් මැක්නෙල්
source
5

Fail2ban වැනි ස්වයංක්‍රීය ලොක out ට් යාන්ත්‍රණයක් භාවිතා කිරීමට අමතරව ඔබට තවත් එක් විකල්පයක් ඇත: ඇත්ත වශයෙන්ම ප්‍රහාරකයාගේ අපයෝජන ලිපිනය ISP අමතන්න. එය සම්පූර්ණයෙන්ම නිෂ් uti ල බවක් පෙනෙන්නට තිබුණත්, තිර රචනය සම්බන්ධයෙන් ඔවුන්ගේ අයිඑස්පී ඔවුන් කෙරෙහි පියවර ගැනීමට කැමැත්තෙන් සිටිනවාට වඩා වැඩි ය.

අපයෝජන ලිපිනය සොයා ගැනීමට, arin.net සමඟ ආරම්භ කර හූයිස් භාවිතා කරමින් IP ලිපිනය බලන්න. ඔබව වෙනත් කලාපීය ලේඛකාධිකාරයකට හරවා යැවිය හැකි නමුත් අවසානයේදී ඔබට ලිපිනය අඩංගු IP බ්ලොක් සඳහා වගකිවයුතු අයිඑස්පී සොයා ගත හැකිය. අපයෝජන @ ලිපිනය සොයන්න හෝ තාක්ෂණික සම්බන්ධතා තැපැල් කරන්න.

අදාළ ලොග් ගොනු ඇතුළත් කිරීම් සමඟ ඔවුන්ට ආචාරශීලී පණිවිඩයක් යවන්න (ඕනෑම පෞද්ගලික තොරතුරක් ඉවත් කිරීමට වග බලා ගන්න) සහ වරද කළ සත්කාරකයට එරෙහිව පියවර ගන්නා ලෙස ඔවුන්ගෙන් ඉල්ලා සිටින්න.

ජේ.ආර්.ඩබ්ලිව්
source
4
අපි ඉස්සර මේක කළා. කෙසේ වෙතත් ලැබුණු ප්‍රතිලාභයට සාපේක්ෂව ගත කළ කාලය ඉතා කුඩා බැවින් එය වැදගත් නොවේ.
NotMe
1
මෙම උපක්‍රමයේ ප්‍රභේදයක් වන්නේ වඩාත් effective ලදායී නමුත් වඩා අවදානම් සහිත වන අතර අයිඑස්පී අතරමැදි නෝඩයට වාර්තා කිරීමයි. නමුත් ඔබේ වාර්තාවේ සාක්ෂි ස්ථිරව තිබිය යුතුය . මෙය සිදු කිරීමෙන් පසු මට සම්පූර්ණ අයිඑස්පී බරපතල කරදරයකට පත්විය, මන්ද ඔවුන් අපයෝජන වාර්තා නොසලකා හැර ඇති බැවිනි.
staticsan
1
වරක් මම මෙය කළ විට, සේවාදායකයන් භාරව සිටින අයෙකු වෙනුවට අපයෝජන පණිවිඩය හැකර් වෙත ළඟා විය. එතැන් සිට, මම තවදුරටත් කරදර නොවෙමි, ඕනෑවට වඩා කරදර.
wump
මෙය බොහෝ අවස්ථාවන්හීදී උදව් නොකරන අතර කාලය ගතවනු ඇත
රිච්වෙල්
4

Fail2ban භාවිතා නොකිරීමට මම නිර්දේශ කරමි, නමුත් සම්මත නොවන වරායක SSH (සහ වෙනත්) ධාවනය කරන්න. අපැහැදිලි භාවයෙන් ආරක්ෂාව ගැන මම විශ්වාස නොකරමි, නමුත් මෙය ඔබගේ ල .ු-සටහන් වල ශබ්දය අඩු කිරීමට කදිම ක්‍රමයක් යැයි මම සිතමි.

සම්මත නොවන වරායන්හි අසමත් වූ පිවිසුම් ස්වල්පයක් හා බොහෝ දුරට වනු ඇති අතර ඉලක්කගත ප්‍රහාරයන් ද දැක්විය හැකිය.

ඔබට තවත් පියවරක් ඉදිරියට ගොස් කිප්පෝ වැනි එස්එස්එච් හනිපොට් එකක් ස්ථාපනය කර තිරිසන් කරුවන්ට 'ඇතුළුවීමට' අවස්ථාව ලබා දී ඔවුන් කුමක් කරනු ඇත්දැයි බලන්න.

ඇන්ඩි ස්මිත්
source
හාහා, කිප්පෝ හරිම ලස්සනයි. ඔවුන් එය කිරීමට උත්සාහ කරන්නේ කුමක් දැයි බැලීමට මම එය සේවාදායකයක ස්ථාපනය කිරීමට යන්නෙමි.
wump
4

ඔව්, එය සාමාන්‍යයි. කුඩා වෙබ් අඩවි සමඟ ඔබේ තත්වය තුළ මම සේවාදායකයින්ට පවසන දේ.

සෑම විටම අනවසරයෙන් ඇතුළුවීමට සූදානම්ව සිටින්න.

ඔබේ වෙබ් අඩවියේ පිටපතක් dev සේවාදායකයක තබා ගන්න. මෙය ඔබට නොමිලේ ලබා ගත හැකි XAMPP භාවිතා කරමින් ඔබේ වින්ඩෝස් ඩෙස්ක්ටොප් එක විය හැකිය.

සෑම විටම ඔබගේ dev සේවාදායකයේ වෙනස්කම් සිදු කර ඒවා ඔබගේ සජීවී වෙබ් අඩවියට උඩුගත කරන්න. එය වර්ඩ්ප්‍රෙස් වැනි සීඑම්එස් එකක් නම්, ඩිව් සර්වරයේ ඔබගේ සටහන් සාදන්න, පසුව ඒවා සජීවී සේවාදායකයට පිටපත් කර අලවන්න.

ඔබගේ සජීවී වෙබ් අඩවියෙන් ඔබගේ dev සේවාදායකයට කිසිවක් බාගත නොකරන්න.

ඔබ නොකළ ඕනෑම වෙනස්කමක් සඳහා ඔබේ වෙබ් පිටු නිරන්තරයෙන් අධීක්ෂණය කරන්න. නිශ්චිතවම, drugs ෂධ හෝ 'වැඩි දියුණු කිරීමේ' නිෂ්පාදන සඳහා සැඟවුණු සම්බන්ධතා. ඔබට මෙය කළ හැකි බ්‍රව්සර් ඇඩෝන සහ වැඩසටහන් බොහොමයක් ඔබට සොයාගත හැකිය.

ඔබ සම්මුතියකට පැමිණියේ නම්. ඔබගේ සත්කාරක සමාගමට දැනුම් දෙන්න, සියල්ල මකා දමන්න, සියලුම මුරපද වෙනස් කර ඔබගේ පිරිසිදු dev සේවාදායකය දැන් හිස් වෙබ් සේවාදායකයට උඩුගත කරන්න. නැවත ඇතිවීම වැළැක්වීම සඳහා ඔබේ සත්කාරක සමාගම සමඟ වැඩ කරන්න.

කුඩා වෙබ් අඩවියක් සඳහා ඔබට ආරක්ෂක කණ්ඩායමක් අවශ්‍ය නොවිය යුතුය. ඔබේ සත්කාරක සමාගම සැපයිය යුත්තේ එයයි. ඔවුන් එසේ නොකරන්නේ නම්, සජීවී සේවාදායකය ගෙනයාමට උත්සාහ කරනවාට වඩා ඔබට dev සේවාදායකයක් ඇති විට එය කිරීමට පහසු වන වෙනත් සත්කාරක සමාගමක් ලබා ගන්න.

මෙය උපකාරී වේ යැයි සිතමි.

ජේ ලිටන්
source
2
+1 සඳහා "සැමවිටම අනවසරයෙන් ඇතුළුවීමට සූදානම්ව සිටින්න."
user78940
3

එය නැවැත්වීමේ තවත් ක්‍රමයක් (මම පෞද්ගලිකව SSH වරාය ගෙනයාමට අකමැති බැවින්): ඔබට පිවිසීමට අවශ්‍ය සියලුම ජාල ලැයිස්තුගත කිරීමට ඔබට හැකි දැයි තීරණය කරන්න, එවිට ඔබේ SSH වරායට ප්‍රවේශ වීමට පමණක් ඉඩ දෙන්න.

දේශීය අයිඑස්පී වල WHOIS ඇතුළත් කිරීම් මසකට පිවිසුම් උත්සාහයන් 1-2 දක්වා අඩු කිරීමට මට උදව් විය (එවකට එය දිනකට 1k පමණ විය). මම ඒවා හඳුනාගත්තේ තවමත් ඩෙනිහෝස්ට් භාවිතා කිරීමෙනි .

weheavy
source
3

ඔබට දැනටමත් ලැබී ඇති අනෙකුත් විශිෂ්ට යෝජනා වලට අමතරව , දී ඇති සේවාදායකයට සුදුසු නම් AllowUsers විධානය භාවිතා කිරීමට ද මම කැමැත්තෙමි . මෙය නිශ්චිත පරිශීලකයින්ට පමණක් SSH හරහා ප්‍රවේශ වීමට ඉඩ සලසයි, එමඟින් අනාරක්ෂිත ලෙස වින්‍යාස කර ඇති ආගන්තුක / සේවා / පද්ධති ගිණුමක් හරහා ප්‍රවේශය ලබා ගැනීමේ හැකියාව බෙහෙවින් අඩු කරයි.

උදාහරණයක්:

AllowUsers admin jsmith jdoe

AllowUsers විකල්පය මඟින් ssh සේවාවන් වෙත ප්‍රවේශ විය හැකි පරිශීලකයින් පාලනය කරයි. බහු පරිශීලකයින් අවකාශයන් අනුව වෙන් කළ හැකිය.

ජේ
source
3

ඔව්, එය සාමාන්‍ය දෙයකි. ඔයාට පුළුවන් :

  • Fwknop භාවිතා කිරීමෙන් පහර දීමේ අවස්ථාව අඩු කරන්න

Fwknop යනු වඩා හොඳ වරාය තට්ටු කිරීමේ ක්‍රියාවලියකි, මන්ද එය වංචනික නොවන අතර සම්බන්ධතාවයක් සඳහා බලය පැවරීමට වඩා සත්‍ය වශයෙන්ම සත්‍යාපනය වේ.

  • ඔපෙන්ෂ් භාවිතා කරන වරාය ඔබට වෙනස් කළ හැකි නමුත් ඔබ සැබවින්ම ආරක්ෂාව වැඩි දියුණු නොකරයි.

  • ගූගල්-සත්‍යාපනය හෝ විකිඩ් භාවිතයෙන් ssh සත්‍යාපනය ශක්තිමත් කරන්න

මෙය මුරපදය මත පදනම් වූ ප්‍රහාරයන් සහ අධිෂ් attack ානශීලී ප්‍රහාරකයෙකු / ඉලක්කගත ප්‍රහාරයක් ඔබගේ පරිපාලක යන්ත්‍රය සමඟ සම්මුතියක් ඇති කර ඔබගේ ssh-key & password combo සොරකම් කිරීමේ හැකියාව ආරක්ෂා කරයි.

දක්ෂ ප්‍රහාරකයකුට ඔබේ සම්පුර්ණයෙන්ම පැච් කළ පරිපාලක පෙට්ටිය සම්මුතියකට ගෙන ඒම කොතරම් පහසු දැයි බැලීමට නවතම pwn2own comp දෙස බලන්න.

හිල්ටන් ඩී
source
1

කනගාටුවට කරුණක් නම් මෙය සාමාන්‍ය දෙයකි. ප්‍රහාරකයන් ස්වයංක්‍රීයව හඳුනාගෙන තහනම් කිරීම සඳහා ඔබේ පද්ධතියට අසමත් 2 බෑන් වැනි දෙයක් එකතු කිරීම ගැන සලකා බැලිය යුතුය . ඔබ දැනටමත් එසේ කර නොමැති නම්, ඔබ සලකා බැලිය යුත්තේ පොදු යතුරු සමඟ ssh භාවිතා කිරීම පමණක් වන අතර ssh හරහා root පිවිසීමට ඉඩ නොදෙන්න. පද්ධතියට ලිපිගොනු මාරු කිරීමට ftp භාවිතා කරන්නේ නම්, ඒ වෙනුවට scp / sftp භාවිතා කිරීම සලකා බලන්න.

user9517
source
1

මම වරාය තට්ටු කිරීම ක්‍රියාත්මක කළ අතර දිනකට ගවේෂණ කිහිපයක් තිබේ. ඔවුන්ට සම්බන්ධතාවයක් නොලැබෙන නිසා ඔවුන් ඉවත්ව යයි. සම්බන්ධිත වරායන් වෙත සියලු ප්‍රවේශයන් මම සටහන් කර වාර්තා කරමි.

අඛණ්ඩ ප්‍රහාරකයින් තාවකාලිකව අසාදු ලේඛනය කිරීම සඳහා මම ෆයර්වෝලයක් ලෙස ෂෝර්වෝල් සමඟ අසාර්ථක 2 බෑන් ධාවනය කර ඇත්තෙමි.

ඔබට SSH වෙත අන්තර්ජාල ප්‍රවේශය අවශ්‍ය නොවේ නම් එය අක්‍රීය කරන්න. ඔබට දුරස්ථ ප්‍රවේශය අවශ්‍ය දන්නා ලිපින කිහිපයක් තිබේ නම්, එම ලිපින වලට ප්‍රවේශය සීමා කරන්න.

බලයලත් යතුරු සඳහා ප්‍රවේශය සීමා කිරීමද ප්‍රයෝජනවත් වේ.

බිල්තෝර්
source
0

pam_ablතිරිසන් බලහත්කාරයන් තාවකාලිකව අසාදු ලේඛනයට ඇතුළත් කිරීමට මම භාවිතා කරමි , එය විශිෂ්ට ලෙස ක්‍රියා කරයි. PAM මත යැපීම hosts.denyහෝ රඳා පැවතීමට වඩා තමන්ගේම දත්ත සමුදායක් භාවිතා කරමින් අවසර ලබා ගැනීම වඩා හොඳ යැයි මම සිතමි iptables.

තවත් ප්ලස් එකක් pam_ablවන්නේ ලොග් ගොනු පරිලෝකනය කිරීම මත රඳා නොපවතී.

ක්‍රිස්ටෝෆර් හාමර්ස්ට්‍රෝම්
source
0

මේ දිනවල එය සම්පූර්ණයෙන්ම සාමාන්‍යයි.
SSH වරායට පැමිණෙන නව සම්බන්ධතා සඳහා ඔබට ෆයර්වෝල් හි "පිපිරුම්" සීමාව සැකසිය හැකිය,
නැතහොත් බොහෝ ලොග් පාර්සර් වලින් එකක් ස්ථාපනය කර a'la fail2ban හෝ SSH port වෙනස් කරන්න;).

අන්තිම එක පහසුම එකයි. අධික ලෙස පටවන ලද යන්ත්‍ර මත එවැනි බිඳවැටීමේ උත්සාහයන් සමස්ත පද්ධතියටම අයහපත් බලපෑමක් ඇති කරයි.

-
සුභ පැතුම්,
රොබට්

රොබට්
source
0

ඔව් එය සාමාන්‍යයි.

මම සම්මත 22 න් ssh වරාය වෙනස් කළෙමි. මගේ සේවාදායකය, මගේ නීති :) සංස්කරණය කරන්න / etc / ssh / sshd_config, වරාය වෙනස් කර සේවාව නැවත ආරම්භ කරන්න. එකම පසුබෑම වන්නේ ඔබ භාවිතා කරන සෑම ssh සේවාදායකයෙකුටම එම වරාය වින්‍යාසයට එක් කිරීමට මතක තබා ගැනීමයි.

ජෝන්
source
0

  • මූල පිවිසුම අක්‍රීය කරන්න (සෑම ලිනක්ස් පද්ධතියකම මූල පරිශීලකයා සිටින බැවින් බොට්ස් පහසුවෙන් පරිශීලක නාමය අනුමාන කළ හැකිය) .සම්පූර්ණ පරිශීලකයෙකු ලෙස ලොග් වූ පසු ඔබට su හෝ sudo මගින් root වෙත මාරු විය හැකිය.

  • පෙරනිමි වරාය 22 සිට වෙනස් කරන්න

  • දන්නා අයිපී වලින් පමණක් ssh ප්‍රවේශයට ඉඩ දෙන්න

  • Ssh ප්‍රවේශය ඇති පරිශීලකයා සඳහා ශක්තිමත් ඇල්ෆා සංඛ්‍යාත්මක මුරපදයක් භාවිතා කරන්න

කෙවින් පාකර්
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.