ব্রাশ ফোর্স এসএসএইচ আক্রমণকে আটকানোর বিভিন্ন পদ্ধতির উপকারিতা / বিধিগুলি কী কী?

আপনার সিস্টেমে ব্রুট-ফোর্স এসএসএইচ আক্রমণ চালানো হয়েছে এমন আইপিগুলি বন্ধ করার জন্য এখানে প্রচুর প্যাকেজ রয়েছে। উদাহরণ স্বরূপ:

এগুলির পক্ষে বা অন্য কোনওটি কী কী?

আমার বর্তমান সমাধানটি হ'ল লগওয়াচ প্রতিদিন উত্পন্ন ইমেলটি গ্রহণ করে এবং আইপিএলগুলি পুনর্নির্মাণ করে এমন স্ক্রিপ্টে ফিড খায় এমন একটি আইপি ঠিকানাগুলিকে একটি টেক্সট ফাইলে ডাম্প করে। এটি হ্যাকি, সময় সাপেক্ষ এবং ম্যানুয়াল এবং আমি আরও ভাল উপায় চাই like

(দ্রষ্টব্য যে আমি সমস্যাটি সমাধানের "সেরা" উপায়টি কী তা জিজ্ঞাসা করিনি, কারণ কিছু করার কোনও "সেরা" উপায় নেই))

ssh security

— অ্যান্ডি লেস্টার
সূত্র

উত্তর:

আমি DenyHosts ব্যবহার করি, তাই আমি এর জন্য কমপক্ষে উত্তর দিতে পারি:

পেশাদাররা

এটি সম্পূর্ণ স্বয়ংক্রিয়
এটি কনফিগারযোগ্য (ব্ল্যাকলিস্টিংয়ের আগে কতগুলি ব্যর্থ প্রচেষ্টা, অস্তিত্বহীন ব্যবহারকারীর নাম, অস্তিত্ব নেই এমন ব্যবহারকারীর নাম এবং মূলের জন্য একটি বিশেষ এন্ট্রি)
এটি আপনাকে পর্যায়ক্রমে নতুন কালো তালিকাভুক্ত হোস্টগুলির একটি তালিকা সহ ইমেল করতে পারে এবং প্রতিটি বার নতুন হোস্টকে কালো তালিকাভুক্ত করার সময় একটি প্রদত্ত প্রোগ্রাম চালিয়ে যায়
এটি কিছুক্ষণ পরে স্বয়ংক্রিয়ভাবে অন-কালো তালিকাভুক্ত হোস্টগুলিকে সমর্থন করে

কনস

যতক্ষণ না আপনি এটি সঠিকভাবে ব্যবহার করেন ততক্ষণ আমার কাছে অপূরণীয় কোন কনস নেই:

এর ডিফল্ট কনফিগারেশনে এটি আপনাকে নতুন কালো তালিকাভুক্ত হোস্টগুলিকে সতর্ক করবে না, সুতরাং কেউ যদি কয়েকশত বিভিন্ন ঠিকানা থেকে আপনার নেটওয়ার্কটিতে আক্রমণ করে তবে আপনি ঠিক এখনই লক্ষ্য করবেন না আপনি যদি নিজের লগগুলি ম্যানুয়ালি পর্যবেক্ষণ করছেন তবে, (যেমন উল্লিখিত হয়েছে পেশাদার বিভাগ) এটি আপনাকে ইমেল করতে পারে বা নতুন হোস্ট যুক্ত করা হলে আপনাকে সতর্ক করতে একটি এক্সিকিউটেবল চালাতে পারে
ডিফল্টরূপে এটি আপনার হোস্টগুলিকে অন্য যে কোনওর মতোই কালো তালিকাভুক্ত করবে, তাই আপনি সম্ভবত এগুলিতে যুক্ত করতে চান /etc/hosts.allow। আমি কেবলমাত্র আমার পাসওয়ার্ডটি টাইপ করতে ব্যর্থ হয়ে নিজেকে লক আউট করেছি এবং একবার কাজ থেকে কেউ আমার রসিক অ্যাকাউন্টে রসিকতা হিসাবে লগইন করার চেষ্টা করেছিল এবং আমার কাজের আইপি কালোতালিকাতে তালিকাভুক্ত করেছিল এবং হঠাৎ কেন সংযোগ করতে পারছি না তা নির্ধারণ করতে কয়েক দিন সময় লেগেছিল কাজ থেকে আর আমার নেটওয়ার্কে

— মাইকেল মরোজেক
সূত্র

আর একটি হ'ল ব্যর্থ2ban , যা iptables এর উপর নির্ভর করে (সুতরাং এটি কোনও সার্ভিসের সাথে কাজ করে, কেবল ssh নয়)। ব্যর্থ 2 ব্যাবান সহ, আপনি এটি করতে পারেন:

যে কোনও লগ ফাইলের জন্য পাথ নির্দিষ্ট করুন (অ্যাপাচি, এসএসএস, এনগিনেক্স, মেল সার্ভার, ...)।
আক্রমণ প্যাটার্নগুলির জন্য রেজেক্স নির্দিষ্ট করুন (উদাহরণস্বরূপ, 6 সেকেন্ডের মধ্যে এনজিনেক্স অ্যাক্সেস লগতে একই আইপি দ্বারা 10 "404 ত্রুটি" বেশি)
নির্দিষ্ট নিদর্শনগুলি উপেক্ষা করার জন্য রেজেক্স নির্দিষ্ট করুন (খুব দরকারী!)
নিষেধাজ্ঞার সময় নির্দিষ্ট করুন
একটি ইমেল প্রেরণ করুন (বা অন্য কোনও সতর্কতা ...)
সম্পূর্ণ কাস্টমাইজযোগ্য (আপনি নিজের সতর্কতা এবং ফিল্টার লিখতে পারেন)

DenyHosts এর একটি "অসুবিধা" হ'ল এটির জন্য tcp মোড়কের প্রয়োজন হয়, সুতরাং এটি কেবল সেই পরিষেবাগুলির সাথে কাজ করবে যা /etc/hosts.deny ফাইলটি দেখায়। তবে ড্যানিহোস্টগুলির সাথে সুবিচার করার জন্য, বেশিরভাগ লিনাক্স বিতরণে টিসিপি র্যাপারগুলি ব্যবহার করতে sshd সংকলিত হয়। আমি ব্যর্থ ব্যান (তবে কম শক্তিশালী) এর চেয়ে বাক্সের বাইরে কনফিগার করাও সহজ বলে মনে করি ডিএনহোস্টগুলি।

অনুরূপ এসএফ প্রশ্নের উল্লেখ ference

— বার্থেলেমি
সূত্র

ব্যর্থ 2ban, ধন্যবাদ, এছাড়াও পিএফ নিয়ে কাজ করে - কেবল iptables নয়

— শুভ ব্যক্তি

স্ক্যান-ভিত্তিক আক্রমণগুলির বিরুদ্ধে একটি সহজ এবং কার্যত কার্যকর সুরক্ষা মানক বন্দর ব্যবহার না করা। 443 (https পোর্ট) আপনাকে বিভিন্ন ব্রুট-ফোর্স আক্রমণে উন্মোচিত করে যা আপনার দুর্বল পাসওয়ার্ডগুলিকে ক্র্যাক করবে না এবং সম্ভবত ডিফল্ট পোর্ট (22) এর চেয়ে বেশি ফায়ারওয়ালের মাধ্যমে কাজ করবে।

Ssh brute ফোর্স আক্রমণ প্রতিরোধের বেশিরভাগ পদ্ধতি হ'ল স্ব-ডস করার দুর্দান্ত উপায় (ওফস, আমি কনফিগারেশনটি ভুল করে দিয়েছি! ওফস, আমি দ্রুত আরএসসিএনসি করেছি এবং এখন দিনের জন্য নিষিদ্ধ!) বা সাহায্য-স্ব-ডস (ওফস) , আক্রমণকারী এসেছিল / আমার মতো একই সাবনেটে একটি মেশিনকে বিভ্রান্ত করেছে (ডায়নামিক আইপি রেঞ্জ, কলেজ নেটওয়ার্ক ...) এবং আমিও নিষিদ্ধ হচ্ছি!)।

আপনি যদি কেবল কয়েকটি স্থান থেকে লগ ইন করেন তবে আপনি কেবলমাত্র সোর্স আইপি অ্যাড্রেসগুলি শ্বেত তালিকাতে রাখতে পারেন। আপনি যেতে যেতে আপনার ল্যাপটপ বা সেল ফোনটি থেকে এসএসএস করতে চাইলে এটি অবশ্যই ভাল নয় good

কেবলমাত্র আইভিভি 6 সংযোগগুলি শোনার জন্য একটি এসএসএস ডেমন থাকার ফলে আপনাকে কয়েক বছর ধরে স্ক্যান থেকে রক্ষা করা উচিত। তবে অনেক ফায়ারওয়াল আপনাকে আইপিভি 6 কোনও যুক্তিসঙ্গত উপায়ে পরিবহন করতে দেয় না।

আর একটি পদ্ধতি যা আপনি উল্লেখ করবেন না তা হ'ল পোর্ট নক আউট । এটি স্ব-ডস সমস্যা হিসাবে ভুক্তভোগী নয় (ভুল কনফিগারেশন ব্যতীত) তবে এটি ফায়ারওয়ালগুলি ভালভাবে অতিক্রম করে না এবং সংযোগ স্থাপনায় কয়েক সেকেন্ডের বিলম্বকে যুক্ত করতে পারে।

আপনার যদি ভাল পাসওয়ার্ড থাকে বা আপনি পাসওয়ার্ড প্রমাণীকরণ ব্যতীত বেঁচে থাকতে পারেন, পাসওয়ার্ড প্রমাণীকরণ অক্ষম করুন। (বেশিরভাগ ব্যবহারের ক্ষেত্রে কী এবং ওয়ান-টাইম পাসওয়ার্ডই যথেষ্ট: আপনি যদি ক্লায়েন্ট মেশিনকে কোনও এসএস কী সঞ্চয় করতে পর্যাপ্ত পরিমাণে বিশ্বাস করেন না, তবে আপনি এটিতে কোনও কীলগার না রাখার বিষয়ে বিশ্বাস করবেন না)। তারপরে বর্বর বাহিনীর আক্রমণগুলি আপনাকে কিছুটা সিপিইউ এবং ব্যান্ডউইথের জন্য ব্যয় করতে পারে তবে আপনাকে কোনও অনুপ্রবেশের সামনে তুলে ধরবে না (যতক্ষণ না আপনি পরীক্ষা করেছেন আপনার কোনও কীই কোনও ডেবিয়ান লো-এন্ট্রপি ওপেনএসএসএল থেকে আসে নি )।

সব মিলিয়ে, নোট করুন যে বন্দরটি পরিবর্তন করা আপনার এক্সপোজারকে উল্লেখযোগ্যভাবে হ্রাস করে না। আপনি কম স্ক্যানিং পাবেন , তবে আপনি যে সমস্ত কাটতে পারেন তা হ'ল নিম্ন-ঝুলন্ত ফল যা পুরানো দুর্বলতা এবং দুর্বল পাসওয়ার্ডগুলি কাজে লাগাতে চায়। আপনি যতক্ষণ না আপনার ডেমোনকে আপ টু ডেট রাখেন এবং যুক্তিসঙ্গত পাসওয়ার্ডগুলি এবং এবং যুক্তিসঙ্গত প্রয়াসের হার সীমাবদ্ধ রাখবেন ততক্ষণ পোর্টটি স্যুইচ করা সুরক্ষা ব্যবস্থা হিসাবে দায়বদ্ধতা হিসাবে বেশি।

— গিলস 'তাই খারাপ হওয়া বন্ধ করুন'
সূত্র

আমি সম্মত হই যে নিজেকে নিষিদ্ধ না করার জন্য কিছুটা অনুশীলন করা দরকার ;-) ডিফল্ট পোর্ট পরিবর্তন করা এবং পাসওয়ার্ডের উপর নির্ভর না করে পাসওয়ার্ড-সুরক্ষিত কীতে রাখা ভাল পরামর্শও। তবে আমি সত্যিই জানি না কেন আমাকে বট নেটওয়ার্কগুলিকে আমার অ্যাক্সেস লগ ফাইলগুলি পূরণ করতে দেওয়া উচিত যখন আমার এসএস এবং ওয়েব সার্ভারকে প্রতি ঘন্টা কয়েক হাজার অনুরোধ অস্বীকার করতে হবে। ব্যর্থ 2 বিয়ান সহ, আমার অ্যাক্সেস লগ পরিষ্কার এবং আমার সার্ভার অ্যাপ্লিকেশনগুলি এই ট্র্যাফিকটি মোটেও দেখতে পাবে না (প্রথম এক্স খারাপ অনুরোধগুলি ছাড়া :-))।

— বার্থলেমি

নন-স্ট্যান্ডার্ড পোর্ট ব্যবহার করা মোটেই বেশি সুরক্ষা যোগ করে না। নন স্ট্যান্ডার্ড পোর্টে এসএসএইচের জন্য স্ক্যান করতে কয়েক মিনিট বেশি সময় লাগে তবে 22 পোর্টে এসএসএইচের জন্য স্ক্যান করা হয় (ধরে নেওয়া যায় যে ক্র্যাকারটি একটি স্ক্যান করে এবং স্ক্যানটি কোনও আইডিএস দ্বারা অবরুদ্ধ ছিল না But তবে আপনার যদি আইডিএস থাকে, তবে পোর্ট অপসারণ সম্ভবত অপ্রয়োজনীয়) )। যদি আমি একজন ক্র্যাকার হয়ে থাকি এবং আমি একটি মানহীন বন্দরটিতে এসএসএইচ পাই, তবে আমি আরও আগ্রহী হব কারণ আমি জানি প্রশাসক এই পরিষেবাটি আড়াল করার পক্ষে যথেষ্ট মূল্যবান বলে মনে করেছিলেন এবং অস্পষ্টতার দ্বারা সুরক্ষার উপর নির্ভর করছেন।

— স্টিফান লাসিউইস্কি

@ স্টেফান: বেশিরভাগ আক্রমণ কোনও প্রদত্ত হোস্টের বিরুদ্ধে নয়, প্রদত্ত পরিষেবার বিরুদ্ধে। তার জন্য প্রতিটি ঠিকানার অনেকগুলি পোর্টের চেয়ে অনেক ঠিকানায় একটি পোর্ট স্ক্যান করা অনেক বেশি কার্যকর। এবং যদি আপনার কাছে আসলে কোনও আক্রমণকারী আপনাকে টার্গেট করে রাখে তবে আপনি আরও ভাল জানেন, তাই আপনি শক্তিশালী বা নিষিদ্ধ পাসওয়ার্ড এবং আক্রমণগুলি লগড করতে চান।

— গিলস 'অশুভ হওয়া বন্ধ করুন'

@ স্টেফান আমি ননস্ট্যান্ডার্ড বন্দরগুলিকে উপদ্রব (ব্রুট-ফোর্স স্ক্যান) এর কার্যকর সমাধান হিসাবে দেখি এবং এটি কোনও সুরক্ষার ব্যবস্থা হিসাবে না (যেমন, কাউকে আমার সার্ভারের নিয়ন্ত্রণ নিতে বাধা দেয়)।

— বার্থলেমি

@ সুডাউনড একটি ভিন্ন বন্দর উল্লেখ করা খুব কমই একটি উপদ্রব। এটি কেবল একটি লাইনে .ssh/config। ফায়ারওয়াল আপনাকে দিয়ে না দেয় যদি লকআউট একটি সমস্যা হয়, এবং সবচেয়ে সহজ সমাধান হ'ল পোর্ট 22 টি আটকে থাকা এবং 443 এ শুনুন I আমি একমত যে পোর্টটি স্যুইচিং করা আসলেই সুরক্ষার উন্নতি করে না, সম্ভবত আমার আরও পরিষ্কার করা উচিত । আমি জানি না যে আপনি কোনও এসএসএইচ ডেমনকে পাসওয়ার্ড প্রমাণীকরণ সমর্থন না করা কেন অসম্ভব মনে করছেন: এটি sshd_configসর্বাধিক সাধারণ বাস্তবায়ন, ওপেনএসএইচএল-এর সাথে একটি লাইন যুক্ত করার বিষয় মাত্র ।

— গিলস 'তাই খারাপ হওয়া বন্ধ করুন'