linux – Cientos de inicios de sesión ssh fallidos

Pregunta:

Cada noche recibo cientos, a veces miles, de inicios de sesión ssh fallidos en mi servidor RedHat 4. Por razones de firewall de sitios remotos, necesito ejecutar en el puerto estándar. ¿Hay algo que deba hacer para bloquear esto? Noto que muchos provienen de la misma dirección IP. ¿No debería detenerlos después de un tiempo?

Respuesta:

Puede utilizar iptables para limitar la velocidad de las nuevas conexiones entrantes al puerto SSH. Tendría que ver toda su configuración de iptables para poder brindarle una solución llave en mano, pero básicamente está hablando de agregar reglas como:

iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 --name SSH --rsource -j DROP 
iptables -A INPUT -p tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT 

Estas reglas asumen que está aceptando conexiones ESTABLECIDAS anteriormente en la tabla (de modo que solo las conexiones nuevas alcanzarán estas reglas). Las nuevas conexiones SSH cumplirán con estas reglas y se marcarán. En 60 segundos, 5 intentos desde una única dirección IP resultarán en nuevas conexiones entrantes desde esa IP que se descartarán.

Esto ha funcionado bien para mí.

Editar: prefiero este método a "fail2ban" porque no hay software adicional que instalar y ocurre totalmente en modo kernel. No maneja el análisis de archivos de registro como lo hará "fail2ban", pero si su problema es solo con SSH, no usaría algo en modo de usuario que requiera instalación de software y sea más complejo.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım