কীভাবে আমরা ssh প্রোবগুলির প্রভাব সীমাবদ্ধ করতে পারি?

13

আমার ওয়েবসারভার নিয়মিতভাবে বিভিন্ন আইপি ঠিকানা দ্বারা আক্রমণ করা হয়। তারা পাঁচটি পাসওয়ার্ড চেষ্টা করে এবং তারপরে আইপি ঠিকানা পরিবর্তন করে।

আমি বিভিন্ন লকডাউনগুলি করেছি যেমন এসএসএস-কী ব্যবহার করা এবং পাসওয়ার্ডের অনুমতি না দেওয়া এবং দূরবর্তী রুট লগইনকে অনুমতি না দেওয়া।

এই আক্রমণ আক্রমণ থেকে মুক্তি পেতে আমি কি কিছু করতে পারি? এতে ব্যর্থ হয়ে, আমার কি নির্দিষ্ট প্রতিরক্ষা ব্যবস্থা রাখা উচিত?

ssh  security 
JW01
সূত্র
1
সিকিউরিটিতে স্থানান্তরিত হওয়ার জন্য পতাকাঙ্কিত করুন se যেখানে এটি বিষয়টিতে কিছুটা বেশি
ররি আলসপ
1
@ ররি "এখানে আরও কিছু অন-টপিক অন্য কেউ" এবং "অফ-টপিক এখানে" এর মধ্যে পার্থক্য রয়েছে - এটি এখানে বেশ স্পষ্টভাবে অন-টপিক বলে মনে হচ্ছে
মাইকেল মরোজেক
মিচেল @ কোন উদ্বেগ নেই গিলেস থেকে এখানে আসতে পিং ছিল এবং এটি এখানে সম্ভবত অফটোপিক ছিল বলে এটি দেখতে।
ররি আলসপ
@ ররি ঠিক আছে, আমি তাকে এটি সম্পর্কে জিজ্ঞাসা করব; তিনি সাধারণত আমার কিছু মনে করেন something অফ, অন}
টপিকটি
1
আমার প্রশ্নটি স্বীকৃতি ছাড়াই পরিবর্তিত হয়েছে বলে মনে হচ্ছে। আমার আসল প্রশ্নে আমি সত্যিই এটি চেষ্টা করার চেষ্টা করছিলাম যে প্রতিটি সাইটের পক্ষে বর্বর বাহিনীর আক্রমণগুলি অনুভব করা সাধারণ ছিল - এটি কি জীবনের সত্য। "এটি আসলেই জীবনের সত্য" বলে মাত্তিওর দ্বারা জবাব দেওয়া হয়েছিল। প্রশ্নের দ্বিতীয় অংশটি জিজ্ঞাসা করছিল যে আমি এই আক্রমণগুলি প্রতিরক্ষা স্থাপন বাদ দিয়ে সক্রিয়ভাবে থামাতে কী করতে পারি ? এটি যদি কোনও নির্দিষ্ট সাইটগুলিই বর্বর বাহিনীর আক্রমণে ভুগত তবে এটি একটি প্রাসঙ্গিক মাধ্যমিক প্রশ্ন হত। ব্রুস তার তারপিট ধারণা দিয়ে উত্তর দিয়েছিল। আমি সত্যিই প্রতিরক্ষামূলক টিপস চাইনি।
JW01

উত্তর:

14

এটা সত্যিই জীবনের একটি সত্য। আপনি কয়েকবার ব্যর্থ চেষ্টার পরে আপনাকে আক্রমণকারী হোস্টগুলিকে ফিল্টার করার জন্য সরঞ্জামগুলি ইনস্টল করতে পারেন।

অস্বীকৃতিগুলি আপনার লগ ফাইলগুলি বিশ্লেষণ করে এবং স্বয়ংক্রিয়ভাবে আপনার /etc/hosts.denyফাইলে আক্রমণকারী যুক্ত করে ।

আপনার প্রয়োজনের জন্য এটি কীভাবে কনফিগার করতে হয় তার ডকুমেন্টেশন পরীক্ষা করুন।

আপডেট : মন্তব্যগুলিতে কিছু গুরুত্বপূর্ণ পয়েন্ট প্রস্তাবিত

  • আপনি নিজেকে লক আউট করতে পারার কারণে ডিএনইহোস্ট হিসাবে সরঞ্জামগুলি সঠিকভাবে কনফিগার করতে নিশ্চিত হন (যেমন, আপনি কোনও মেশিন বা নেটওয়ার্ক যা কখনও ফিল্টার হয় না তা কনফিগার করতে পারেন)

  • অস্বীকৃতিগুলি আপনার সিস্টেমের সুরক্ষা বাড়ায় না: এটি কেবল আইপি স্তরে আক্রমণগুলি ফিল্টার করে (এটি ছোট মেশিনের বোঝা হ্রাস করতে পারে এবং লগ ফাইলগুলির আকার হ্রাস করতে পারে তবে আরও কিছু নয়)

Matteo
সূত্র
1
Aaah। আমি ভাবতে শুরু করেছিলাম যে আমি বিশেষ। আমাকে সোজা করার জন্য ধন্যবাদ
JW01
Matteo উপর প্রসারিত হচ্ছে আপনার প্রশ্নের প্রায় হুবহু উত্তর refs Q1.3 denyhosts.sourceforge.net/faq.html#1_0
whoami
@ হোয়ামি লিঙ্কটির জন্য ধন্যবাদ, একটি দুর্দান্ত সংক্ষিপ্তসার। যদিও একটি জিনিস যা সর্বদা আমার মন থেকে যায় যখন আমি দেখি যখন অন্যরকম বন্দরের টিপ ব্যবহার করা হয় তবে 'আপনি কীভাবে জানবেন যে আপনি যে বিকল্প পোর্টটি বেছে নিয়েছেন সেটি অন্য কোনও কিছু ইতিমধ্যে ব্যবহার করছে না? '
JW01
1
DenyHosts এবং অনুরূপ সরঞ্জামগুলির সাথে সতর্ক থাকুন, যেহেতু তারা অতিরিক্ত জটিলতার পরিচয় দেয়, অর্থাত তারা নিজেরাই সুরক্ষা সমস্যা তৈরি করতে পারে, সিএফ। unix.stackex
بدل.
1
DenyHosts সম্পর্কেও সাবধান থাকুন কারণ আপনি নিজের মেশিন থেকে নিজেকে লক করে রাখতে পারেন। একটি সাধারণ apt-get install denyhostsআমাকে আমার মেশিন থেকে লক আউট পেয়েছে।
নাফতুলি কে
15

আমি প্রতিটি ভুল পাসওয়ার্ড এসএসএইচ লগইন প্রয়াসে 7-সেকেন্ড বিলম্ব যুক্ত করার জন্য এই নির্দেশাবলী অনুসরণ করেছি । আমি আমার এসএসডিটিকে ব্রুট ফোর্স স্ক্যানারগুলির জন্য "টারপাইট" হিসাবে তৈরি করেছি।

আমার যুক্ত করা উচিত যে আমি আমার সংশোধিত, টারপিট এসএসডিডি ব্যর্থ পাসওয়ার্ডগুলি লগ করেছি। এটি পুরোপুরি নৈতিক হতে পারে না, কারণ এটি নিয়মিত ব্যবহারকারীদের নিজের পাসওয়ার্ড হিসাবে কী ভুল টাইপ করে তা রুট ব্যবহারকারীকে দেখায়, তবে যেহেতু আমি একমাত্র "প্রকৃত" ব্যবহারকারী, আমি ঠিক করেছি যে এটি ঠিক আছে।

আমার কাছে এটি কোনও স্ট্যান্ডার্ড বন্দর নয়, কারণ "টারপিট" দিকটি কারও সময় নষ্ট করবে না।

ব্রুস এডিগার
সূত্র
এছাড়াও, একটি অ-মানক বন্দর ব্যবহার করুন এবং পাসওয়ার্ডের পরিবর্তে কীগুলি ব্যবহার করুন। তারপরে তাদের প্রায় কোনও আশা নেই (তারা কীগুলি সংরক্ষণ করে না, যা সমস্তভাবেই পাসওয়ার্ড করা উচিত)।
কলম রজার্স
এটি একটি দুর্দান্ত উত্তর কারণ খাঁটি 'রক্ষণাত্মক' হওয়ার পরিবর্তে এর কিছুটা 'আপত্তিকর' দৃষ্টিভঙ্গি রয়েছে যা আমি মনে করি নৈতিকতাকে যুক্ত করে।
JW01
9

যদি কেবলমাত্র সংখ্যক লোককে সিস্টেমে এসএসএইচ প্রয়োজন হয় তবে এসএসএইচটিকে একটি অ-মানক বন্দরে (যেমন 64৪২২, ৮০৮০ ইত্যাদি) সরিয়ে নিয়ে যাওয়া বিবেচনা করুন যা একাই লগইন প্রচেষ্টাগুলির সংখ্যাকে হ্রাস করবে (এবং সম্ভবত আপনাকে কিছু অপ্রকাশিত থেকে রক্ষা করবে) এসএসএইচ ভিত্তিক কৃমি শোষণ করে)।

কীলক
সূত্র
3
+1 বরং বিরক্তি সীমাবদ্ধ করার কারণে এটি কার্যকর, তবে সুরক্ষা ব্যবস্থা হিসাবে এটি ভুল করবেন না - এটি সুরক্ষা লকের চেয়ে মশার বিরুদ্ধে একটি স্ক্রিন দরজার নিকটতম সমতুল্য।
পিসকভোর
1
+1 এটি সার্ভার সংস্থানগুলিতে একটি সঞ্চয়ও।
শিওনক্রস
6

@ মাত্তিওর উত্তর সহ কনকুর; আপনি যা দেখছেন তা হ'ল হাজার হাজার জম্বি'ড সিস্টেমগুলি আপনার সার্ভারে একটি বিতরণ করা ব্রুট-ফোর্স আক্রমণ চালায় কারণ এটির উপর একটি ওয়েবসাইট চলছে, যার অর্থ এমন একটি ব্যবহারকারী রয়েছে যা সম্ভবত একটি লগইন অ্যাকাউন্ট থাকতে পারে যার দ্বারা অনুমান করা যেতে পারে স্ক্রিপ্ট কিডির অংশে ন্যূনতম প্রচেষ্টা - তিনি এমন একটি প্রোগ্রাম পেয়েছেন যা হাজার হাজার জম্বিকে একটি সময়ে কয়েক শতাধিক ওয়েবসাইট হোস্টে ব্রুটফোর্স প্রচেষ্টা করার নির্দেশ দেয় এবং কেবল সফল রিটার্নের একটি তালিকা সংকলন করে।

একইভাবে, আপনি কখনও কখনও আপনার /var/log/apache2/access.logফাইলগুলিতে "http://your.web.host/phpmyadmin/" এর প্রচুর অনুমতি দেখতে পাবেন ; এগুলি পিএইচপিএমআইএডমিন স্থাপনের সর্বাধিক সাধারণ উপায়ে স্বয়ংক্রিয় স্ক্যানগুলি রয়েছে এবং যদি এটি পাওয়া যায় তবে এটি বেশ কয়েকটি পরিচিত শোষনের চেষ্টা করবে (এটি, ঘটনাক্রমে, কেন আমি গ্রাহকদের বলতে শুরু করেছি যে আমি ব্যক্তিগতভাবে সেট আপ করেছি এবং পিএমএ সাইটটি ব্যবহার করতে দয়া করে এবং তাদের নিজস্ব সংস্করণ ইনস্টল করা এবং এটি আপডেট রাখতে ভুলে যাওয়ার পরিবর্তে আপ টু ডেট রাখুন, তবে এখন আমরা ট্যানজেন্টে চলেছি)।

মূল কমান্ডটি প্রেরণ করা ছাড়াও, এটি এমনকি তার সময় বা ব্যান্ডউইথ ব্যয়ও করে না; এটা আগুন এবং ভুলে যাও

এই ধরনের পরিস্থিতির জন্য সফ্টওয়্যার আরেকটি খুব দরকারী বিট fail2ban , যা একাধিক পরিষ্কারভাবে মিথ্যা লগঅন বা অন্যান্য কাজে লাগান প্রচেষ্টার পরে ব্লক সংযোগ করার জন্য প্রচেষ্টার সংখ্যা iptables- র ব্যবহার করে।

Shadur
সূত্র
4

Fail2ban কনফিগার করার চেষ্টা করুন । এটি ব্যর্থ প্রচেষ্টা অনুসন্ধানের জন্য খুব নমনীয় উপায় সরবরাহ করে এবং এতে এসএসএইচ, এইচটিটিপি এবং সাধারণ পরিষেবার জন্য টেমপ্লেট রয়েছে।

Fail2ban আপনার ক্রিয়া অনুসারে iptables আপডেট করবে .. আমি এটি পছন্দ করি।

শুভক্ষণ
সূত্র
3

Fail2Ban বা DenyHosts এর মতো ডেমন চালানো ছাড়া ট্র্যাফিক বন্ধ করতে আপনি IPTABLES ব্যবহার করতে পারেন ।

#  Allows SSH connections (only 4 attempts by an IP every 3 minutes, drop the rest to prevent SSH attacks)
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
Xeoncross
সূত্র
2

আপনি যদি এটি পরিচালনা করতে পারেন তবে আমি ভিপিএন ব্যবহার করা এর মতো জিনিসগুলি মোকাবেলা করার সর্বোত্তম উপায়টি খুঁজে পাই find এইভাবে, তারা লক্ষ্য করতে পারে কেবলমাত্র ভিপিএন। আপনার ওয়েব সার্ভারের মতো "প্রত্যেকের" অ্যাক্সেসের জন্য প্রয়োজনীয় সেগুলি ব্যতীত বৃহস্পতিবার বিশ্বের জন্য কোনও পরিষেবা খোলা উচিত নয়। ফায়ারওয়াল দ্বারা অন্য সমস্ত কিছু অবরুদ্ধ করা উচিত। সুরক্ষার জন্য আপনাকে এখন কেবল চিন্তার বিষয় হ'ল আপনার ভিপিএন। আপনি যদি পারেন তবে যে কম্পিউটারগুলি থেকে আপনি আপনার সার্ভারগুলি পরিচালনা করেন তার জন্য একটি স্থির আইপি পান এবং আপনার ভিপিএনটিকে সেই নির্দিষ্ট আইপি ঠিকানায় লক করুন। পাসওয়ার্ডগুলিকে জোর করে চাপিয়ে দেওয়ার চেষ্টা করা থেকে বাধা দেওয়ার একমাত্র উপায় এটি।

Kibbee
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.