Ribojame prisijungimus prie ssh (nuo brutforce): -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name ssh –rsource -A INPUT -p tcp –dport 22 -m state –state NEW -m recent ! –rcheck –seconds 60 –hitcount 4 –name ssh –rsource -j ACCEPT Šios taisyklės leis iš vieno IP užmegzti 4 prisijungimus.
Didinsime saugumą. Saugiasniam prisijungimui prie serverio naudosime ne standartinį slaptažodį, o autentifikaciją raktų pagalbą (viešo ir privataus, angl. key based authentication). 1. Jei neturime, susigeneruojame ssh raktų porą (linux): ssh-keygen
Ieškojau instrukcijos, pavyzdžių kaip į CentOS 7 sudiegti/sukonfigūruoti sftp, chroot`inta, kai vartotojas gali prisijunti ir matyti tik jam skirta namų kataligą. Kadangi neradau detalaus aprašymo, visko vienoje vietoje, pasirašiau pats 🙂 jei kada prireiktu.
Įdiegus munin galime matyti denyhost rezultatus. cd /usr/share/munin/plugins sudo wget https://raw.githubusercontent.com/munin-monitoring/contrib/master/plugins/network/hostsdeny sudo chmod +x hostsdeny sudo ln -s /usr/share/munin/plugins/denyhost /etc/munin/plugins/hostsdeny sudo service munin-node restart
Kaip pakeisti SSH nestandartinį prievadą, rašyta čia. Dabar iptables blokavimai specifiniams adresams, prisijungimų kiekiui…
Jei norime sshd servisui apriboti vartotojo neveikimo laiką (idle time), pvz. 30 min. ir atjungia vartotoją.
Darome saugesnį prisijungimą prie sistemos, keisdami numatytąsias reikšmes. Apie viską iš eilės.
SSH apsaugai diegiame fail2ban į CentOS 6.
Tęsiu įdiegimą švaraus Raspbian (debian atmaina Raspberry Pi įrenginiui).