※ 引述《[email protected] (陳一中)》之銘言： > 請問各位大大, 小弟在 /etc/rc.conf 加入 sshd_enable="YES" 後, > 最近系統的 auth.log 都會記錄一大串的 ssh 入侵訊息, 每次都是數百列的記錄, > 每天來的 IP 都不同, 所以沒法設定 ipfw 來擋掉該些 IP 的做法, > 不知各位對這種的搔擾有什麼好方法可制止 TCP_WRAPPERS 編輯 /etc/hosts.allow 將 ALL : ALL : allow 註解起來 增加一行 sshd : 你的 IP : allow -- 好康訊息! Openfind 提供免費撥接電話：40508888 帳號：openfind 密碼：openfind -- http://bbs.openfind.com.tw ※來源:61.221.* > -------------------------------------------------------------------------- < 發信人: [email protected] (), 看板: FreeBSD 標 題: Re: 有防 ssh 的入侵方法嗎.. 發信站: KKCITY (Tue May 31 00:00:53 2005) 轉信站: ptt!ctu-reader!ctu-gate!news.nctu!news.nsysu!news.isu!gem.nstdc.nthu!z ※ 引述《[email protected] (水曜日的桌球)》之銘言： > ※ 引述《[email protected] (陳一中)》之銘言： > > 就加用如下 ipfw 設定, 將就用一下先擋一擋, 再等高手們更好的提議方法。 > > ipfw add 100 skipto 1000 ip from me to 192.168.1.0/24 dst-port 22 > > ipfw add 105 skipto 1000 ip from 192.168.1.0/24 to me dst-port 22 > > ipfw add 110 deny ip from any to me dst-port 22 > > ipfw add 1000 allow ip from any to any > 如果可以確定source ip,在firewall上限定該source ip才能access ssh即可 提供我們的作法給您參考： (1) 檢查 /etc/passwd 中各個使用者帳戶的 shell，非必要的帳戶 不允許登入，例如 /bin/bash 等等的 shell (2) 針對某些會用到 shell 但不需要 ssh 遠端連入的帳戶（步驟 1 　　　　的漏網之魚），在 ssh 設定檔中新增 DenyUsers xxx ......的 敘述，禁止其使用 ssh (3) 在 /etc/hosts.all 裡添加關於 ssh 的敘述，以 TCP Warper 方式限定部份 IP 或網段才能使用 ssh；或可在防火牆中設定。 (4) 建立第一線的 NAT，轉換實體 IP (5) 設立第一線的入口跳板機，該主機： 1. 只提供 ssh 服務及權限 2. 只開啟數量有限、名稱不易被猜到的帳戶，且該帳戶與網域 帳戶均不同，也不允許 sudo 功能。 3. 封鎖所有非 ssh 之封包。 　　遠端需要以 ssh 方式網域各主機時，先連入跳板機，然後 在跳至網域內伺服器後再由 ssh 主機轉連至內部所有需要以 ssh 遙控的伺服器。這樣的跳板機有幾項可能的優點： 1. 由於這部跳板機帳戶少（必要的話請設定特別的帳戶名稱） 、提供服務也僅有 ssh，所以攻防戰縮減至單一入口。即使 淪陷也具有緩衝作用。 2. 跳板機對封包的檢查嚴格，回應遠較其他伺服器為慢，遭遇 到暴力法(例如以字典檔等等測試帳戶及密碼)的攻擊時，入 侵者可能因跳板機回應遲緩而增加放棄的可能，我們遇過一 些像這樣「沒有耐心」的 cracker。 3. 跳板機不提供任何網頁或 FTP 常見的服務，較不容易成為 被入侵的焦點。（對掃 ports 的 crack 例外...） 這是我們想到可能的作法，目前看起來或多或少有效。但是不一定夠 聰明，僅供您參考。 Aries -- ┌─────◆ＫＫＣＩＴＹ◆─────┐★☆ 數十萬首歌曲，22種音樂分類 ☆★ │ bbs.kkcity.com.tw │□□ 與各大唱片行同步的音樂收藏 □□ └──《From:140.112.233.155 》──┘快來~KKBOX →http://www.kkbox.com.tw