今天,我和我公司的系统pipe理员讨论了如何保护(SSH)服务器,并提出了一个有趣的想法:
我的感觉是,这打开潘多拉的盒子,但我不知道为什么。 这可能出什么问题?
它感觉危险的原因是因为它是危险的。 你会给你认识的人试图让你的系统立足于这个系统,这样你就可以阻止他们的可replace的IP地址了吗?
当他们弄清楚如何绕过你的小脚本,也许通过使用SFTP(不会执行.bashrc)来replace.bashrc,以便他们可以交互地login,他们现在已经可以在本地访问该框,这意味着除非你对于定期打补丁非常警惕,他们可能通过本地利用获得了一条根path – 即使你保持警惕,他们也只能等到一个新的本地漏洞被披露出来。
最糟糕的是,你承担了巨大的风险,所以你可以阻止他们的IP地址; 为什么不自动阻止所有暴力破解地址并为自己节省蜜jar的风险呢? 除此之外,IP地址很容易被发现,而维护一个被认为是“不好”的列表将会变成徒劳无功或映射IPv4地址空间。
我希望这有帮助!
这是打开潘多拉的盒子,因为SSH服务器可以很容易地用来产生sftp或scp。 而不是蜜jar,我使用fail2ban黑名单攻击我的VPS服务器的不良地址。
我有5分钟的失败尝试5分钟导致禁止20分钟。 如果我觉得它受到了更多的攻击,我会增加禁令时间。
我总是使用RSA身份validation密钥login到我的VPS,所以在尝试login之前没有将密钥加载到代理程序中时,我个人只会遇到一次失败。
.bashrc只能在交互式shell上运行。
因此,攻击者仍然可以通过在ssh命令行上指定它们或使用诸如scp之类的实用程序来运行任意命令。
不过,这是一个有趣的想法。 你应该把陷阱用户的shell做成一个自定义的程序来完成上述工作。 或者最安全的是,将shell设置为/ bin / false,并使用外部程序监视这些帐户的login/login尝试。
我会陷入login尝试 ,无论他们是否成功。 不要让他们进门,只要他们敲门就把他们踢出去。
真的,其他人回答最安全的事情就是不要这样做。 使用一个被devise成真正的蜜jar的程序。
对于testing密码,请使用John the Ripper 。
不要使用真正的ssh服务器作为蜜jar。 这是不安全的。 使用kojoney或其他蜜jarSSH服务器。
如果您为蜜jar用户使用OpenSSH set / sbin / nologin。
您可以使用Kippo设置一个简单的SSH蜜jar,并将数据logging到MySQL数据库中。 还有一个工具来显示结果。
另外还有一个叫“炮兵”的脚本,它是一个蜜jar,文件监视和完整性,警报和powershell预防工具的组合,体重极轻,有多种不同的方法来检测特定的攻击,最终还会通知你不安全尼克斯configuration“。 http://www.secmaniac.com/blog/2011/10/14/new-tool-release-artillery-for-linux-protection/
.bashrc中的第二行是'exit'
对于非交互式运行如ssh user@remotehost ls /