Обратил внимание, что /var/log/auth.log распух и занимает 5 файлов по 10Мб каждый.
Оказалось, что хост пытаются брутфорсить по различным портам с нескольких адресов.
Настало время усложнить им задачу.
Зайдем на сервер. Создадим пользователя, под которым будем ходить на сервер:
useradd vasya
задаем пароль для пользователя:
passwd vasya
Для смены пользователя на рута дополнительно ничего настраивать не надо, все будет сделано без нас.
Настроим sshd:
# Можно повесить ssh на любой порт
Port 22
# Используем только протокол версии 2
Protocol 2
UsePrivilegeSeparation yes
# Authentication:
LoginGraceTime 120
# запрещаем руту логиниться по ssh
PermitRootLogin no
StrictModes yes
Теперь у нас есть позователся для ssh, на сервер можно зайти так:
ssh vasya@server_address
при необходимости можно сменить пользователя на рута:
su -
Продолжаем усложнять жизнь брутфорсерам, настроим Iptables:
заходим на сервер, меняем пользователя на рута.
Создаем в домашней директории файл roolez.list
содержимое:
*filter
# правило по умолчанию, дропать все
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [82:5044]
### Сначала, я пытался банить атакующих по подсетям:
-A INPUT -s 122.225.103.84/32 -j DROP
-A INPUT -s 103.41.124.17/32 -j DROP
-A INPUT -s 103.0.0.0/8 -j DROP
### Потом сделал правило по умолчанию - дропать все пакеты :INPUT DROP [0:0]
и добавил свои доверенные подсети в белый лист:
-A INPUT -s 85.0.0.0/8 -j ACCEPT
-A INPUT -s 185.0.0.0/8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
применяем правила Iptables:
iptables-apply /root/roolez.list
Количество сообщений в auth.log резко сокращается.
В случае, если сервер вдруг станет недоступным, к нему всегда можно обратиться через web консоль, для этого заходим: http://cloud.atlantic.net
Если статья была вам полезна - кликните на баннер или кнопку Donate :)
Предыдущая статья:
1. Обходим ограничения интернет тарифов, качаем торренты на мегафоне и открываем заблокированные сайтов
Комментариев нет:
Отправить комментарий