我已经更新了我的sshd_config对机器人更严格。 即:
这既好又坏。 虽然它locking更多的盒子,testing后,我注意到,即使使用VERBOSE日志logging,不允许的客户端将看到他们的尝试logging到/var/log/auth.log。
例如
ssh [email protected] 不会出现在日志文件中,因为客户端没有尝试authentication。
我想确保这些事件被logging,因为主机可以被认为是“邪恶的”。
我不是fail2ban的忠实粉丝,因为它只对那些没有数百/数千个IP地址的攻击者有效,用于分布式的暴力攻击。 所以它只能捕捉到从一个IP地址做出所有暴力行为的攻击者。
主人被邪恶抓住了吗? 那么,他们至less受到bot代码的感染,这样他们就可以用于攻击。
在过去的十年里,我发现把注意力放在你已经做的事情上更有利可图,把我的精力转移到防止其他攻击的途径上。 我觉得最好采取白名单的安全方法,而不是采取追溯/反动的黑名单方法。
安全SSH所需:
非常有帮助:
我意识到这不是你正在寻找的技术答案。