我正在运行一个Gentoo Linux服务器,并使用Fail2Ban来阻止脚本小子和他们对我的SSH端口的无情打击。 (是的,我知道我可以移动到不同的端口号,但这是工作,谁想要这样做:))
所以无论如何,这个工作很好,我抓住了很多人试图打入,并禁止他们,但后来我注意到这个有趣的消息,而且他们很多。
10月12日18:00:57 SERVERNAME sshd [23265]:SSH:Server; Ltype:Version; Remote:216.177.200.29-46386; Protocol:2.0; Client:libssh-0.1
在5分钟窗口中有1000多个,全部来自相同的远程IP地址。 这是一个破产企图? 如果是的话,那是什么? 我已经试过了,但是无法得到明确的答案。
由于没有特定的login尝试,我的fail2ban没有标记IPTables来阻止它。 我只是想确定我没有暴露在SSHD守护进程中的一些已知的漏洞。
要么有人试图暴力破解你的密码,或者他们不太可能破解你的密钥。 在某些情况下,SSHD不会logging故障。 在邮件列表上有一些讨论,你可以在2小时内通过远程暴力破解SSH密钥。
贾斯汀·梅森(Justin Mason)在自己的博客上写了一篇很好的文章。
iptables -A INPUT -p tcp -m tcp –dport 22 -m状态–state新-m最近–set –name SSH -j ACCEPT
iptables -A INPUT -p tcp -m tcp –dport 22 -m最近的–update –seconds 60 –hitcount 4 –rttl –name SSH -j DROP
iptables -A INPUT -p tcp -m tcp –dport 22 -m状态 – 状态ESTABLISHED,RELATED -j ACCEPT
试试这个方法,你可以在60秒的时间内从相同的IP地址下降超过4个连接60秒,但是接受来自预先build立的连接的stream量。 它不会阻止IP,但会在尝试中减慢速度。