※ 引述《[email protected] (陳一中)》之銘言:
> 請問各位大大, 小弟在 /etc/rc.conf 加入 sshd_enable="YES" 後,
> 最近系統的 auth.log 都會記錄一大串的 ssh 入侵訊息, 每次都是數百列的記錄,
> 每天來的 IP 都不同, 所以沒法設定 ipfw 來擋掉該些 IP 的做法,
> 不知各位對這種的搔擾有什麼好方法可制止
TCP_WRAPPERS
編輯 /etc/hosts.allow
將 ALL : ALL : allow 註解起來
增加一行
sshd : 你的 IP : allow
--
好康訊息!
Openfind 提供免費撥接電話:40508888
帳號:openfind 密碼:openfind
--
http://bbs.openfind.com.tw
※來源:61.221.*
> -------------------------------------------------------------------------- <
發信人: [email protected] (), 看板: FreeBSD
標 題: Re: 有防 ssh 的入侵方法嗎..
發信站: KKCITY (Tue May 31 00:00:53 2005)
轉信站: ptt!ctu-reader!ctu-gate!news.nctu!news.nsysu!news.isu!gem.nstdc.nthu!z
※ 引述《[email protected] (水曜日的桌球)》之銘言:
> ※ 引述《[email protected] (陳一中)》之銘言:
> > 就加用如下 ipfw 設定, 將就用一下先擋一擋, 再等高手們更好的提議方法。
> > ipfw add 100 skipto 1000 ip from me to 192.168.1.0/24 dst-port 22
> > ipfw add 105 skipto 1000 ip from 192.168.1.0/24 to me dst-port 22
> > ipfw add 110 deny ip from any to me dst-port 22
> > ipfw add 1000 allow ip from any to any
> 如果可以確定source ip,在firewall上限定該source ip才能access ssh即可
提供我們的作法給您參考:
(1) 檢查 /etc/passwd 中各個使用者帳戶的 shell,非必要的帳戶
不允許登入,例如 /bin/bash 等等的 shell
(2) 針對某些會用到 shell 但不需要 ssh 遠端連入的帳戶(步驟 1
的漏網之魚),在 ssh 設定檔中新增 DenyUsers xxx ......的
敘述,禁止其使用 ssh
(3) 在 /etc/hosts.all 裡添加關於 ssh 的敘述,以 TCP Warper
方式限定部份 IP 或網段才能使用 ssh;或可在防火牆中設定。
(4) 建立第一線的 NAT,轉換實體 IP
(5) 設立第一線的入口跳板機,該主機:
1. 只提供 ssh 服務及權限
2. 只開啟數量有限、名稱不易被猜到的帳戶,且該帳戶與網域
帳戶均不同,也不允許 sudo 功能。
3. 封鎖所有非 ssh 之封包。
遠端需要以 ssh 方式網域各主機時,先連入跳板機,然後
在跳至網域內伺服器後再由 ssh 主機轉連至內部所有需要以
ssh 遙控的伺服器。這樣的跳板機有幾項可能的優點:
1. 由於這部跳板機帳戶少(必要的話請設定特別的帳戶名稱)
、提供服務也僅有 ssh,所以攻防戰縮減至單一入口。即使
淪陷也具有緩衝作用。
2. 跳板機對封包的檢查嚴格,回應遠較其他伺服器為慢,遭遇
到暴力法(例如以字典檔等等測試帳戶及密碼)的攻擊時,入
侵者可能因跳板機回應遲緩而增加放棄的可能,我們遇過一
些像這樣「沒有耐心」的 cracker。
3. 跳板機不提供任何網頁或 FTP 常見的服務,較不容易成為
被入侵的焦點。(對掃 ports 的 crack 例外...)
這是我們想到可能的作法,目前看起來或多或少有效。但是不一定夠
聰明,僅供您參考。
Aries
--
┌─────◆KKCITY◆─────┐★☆ 數十萬首歌曲,22種音樂分類 ☆★
│ bbs.kkcity.com.tw │□□ 與各大唱片行同步的音樂收藏 □□
└──《From:140.112.233.155 》──┘快來~KKBOX →http://www.kkbox.com.tw