подбор пароля грубой силы на сервере SSH не собирается работать?
Я выполняю сервер SSH на своем персональном компьютере. Журнал имел многих людей (или боты?) неоднократно пытающийся войти в систему моего сервера (который является, прежде чем я изменил порт по умолчанию), который сделал меня немного волнуемым. Я волновался по поводу их атак с подбором по словарю или подбора пароля грубой силы.
Но затем при вводе неправильного пароля (или неверное имя пользователя), сервер ожидает в течение приблизительно 2 секунд, прежде чем это попросит пароль снова. Таким образом, взломщик может попробовать один пароль в 2 секунды. Таким образом, я пришел к заключению, что эти нападения не состоят в том, что большой угроза (как долго, поскольку Ваш пароль не состоит из слов словаря.) Я корректен?
4 ответа
Предложения в других ответах при защите себя далее при использовании SSH очень разумны.
Но конкретно к Вашему вопросу, атаки перебором от отдельного пользователя вряд ли будут эффективными кроме против общих комбинаций имени пользователя/пароля или слов словаря. Случайные алфавитно-цифровые 9 надежности пароля буквы собирается занять приблизительно 6 миллионов лет для предположения.
Однако также возможно напасть, говорят, что большой скоординированный ботнет, который позволяет Вам минимизировать влияние 2-секундной задержки с сервера для каждого пользователя. Один миллион ботов (очевидно, не точно, вероятно) уменьшил бы Ваше время взламывания вниз до намного более страшных 6.4 годы
-
1, надо надеяться, Вы заметили бы 500 000 запросов в секунду когда-то за первые несколько месяцев... – nickf 12.08.2009, 15:36
Грубая сила SSH на паролях root, которые не являются действительно, действительно легки (например, "бог" ;)) никогда не будет, вероятно, успешно выполняться. Однако существует столько людей, пробующих его, я предполагаю, что существует достаточно людей, использующих достаточно слабый пароль, который имеет смысл для взломщиков пробовать.
Таким образом да, при использовании сильных паролей, Вы, вероятно, в безопасности, однако существует несколько вещей, которые можно сделать, чтобы улучшить безопасность еще больше (и позволить смеяться о входе в систему 50k попытки в файлах журнала каждый день):
- используйте fail2ban для автоматического блокирования взломщиков "в лоб" (он создает правила iptables на основе файлов журнала, я думаю).
- отключите корневую учетную запись полностью с помощью "passwd-l" и используйте sudo вместо этого (удостоверьтесь, что включили и протестировали sudo прежде, чем выполнить ту команду!)
- и еще лучше: отключите логины пароля через SSH в целом в sshd_config (PasswordAuthentication не) и используйте файлы ключей вместо этого.
-
1
-
2Если Вы не отключаете корневой вход в систему полностью, по крайней мере, отключите доступ корня SSH. И если Вы не используете только основанный на ключе доступ, удостоверьтесь, что все пароли достаточно сложны относительно не быть отгадываемыми грубой силой методы. – David Spillett 12.08.2009, 15:22
Существует немного больше, можно сделать с BlockSSHd.
BlockSSHD является сценарием Perl на основе BruteForceBlocker v1.2.3, который динамично добавляет правила IPTables для Linux и pf правила брандмауэра для BSD тот блок атаки перебором SSH. Это может также обнаружить отказы входа в систему ProFTPd.
Это довольно аккуратно и гибко.
Сценарий BlockSSHD может разблокировать IP-адрес после периода. Это включено в blocksshd.conf конфигурационном файле с помощью разблокировать опции и с набором периода с помощью unblock_timeout опции.
Сценарий BlockSSHD может также зарегистрировать IP-адреса, заблокированные в файл, и повторно применить эти заблокированные IP-адреса, когда сценарий перезапущен. Это позволяет Вам восстанавливать ранее заблокированные IP-адреса после перезапуска или когда Ваши правила брандмауэра сбрасываются.
Недавнее digg - 6 способов сделать Ваши логины SSH более безопасными.
- Выберите сильные пароли
- Отключите прямой корневой вход в систему
- Отключите основанные на пароле логины
- Выполненный SSH на нестандартном порте
- Запретите рецидивистов (iptables путь)
- Perl основывал BlockSSHd
- Python базирующийся Fail2Ban
- Ограничение скорости соединения (iptables снова)
Все еще параноидальный? Пользовательская двухфакторная аутентификация,
Защитите свое развертывание SSH с двухфакторной аутентификацией WiKID