как заблокировать поступление ssh от местоположений за пределами США в моем домашнем сервере? (человечность 10.04)
Существует ли 'пошаговое' или консервированный пакет к блоку, поступающему ssh попытки откуда-либо не в США?
Никто, но я или горстка коллег не должны пробовать к ssh в мой рабочий стол дома; конечно, жизнь не так хороша, и мой /var/log/auth.log полон предпринятых корневых логинов со всего мира...
Сложное решение состояло бы в том, чтобы так или иначе захватить IP, искать его в сети через поиск HTTP в виде сценария, затем выбрать действие... там консервированный сценарий или пакет, который это блокирует страной?
(примечание: Я установил denyhosts, работы хорошо для блокирования после попытки, но существует именно так много попыток из широкого спектра дюйм/с!)
связанный вопрос: Игровой сервер - Как я могу заблокировать соединения из других стран?
4 ответа
В не думают, что существуют любые предконсервированные решения. По различным причинам они только были бы частично эффективными.
Установите хороший брандмауэр. (Я использую Shorewall для создания моего.)
Рассмотрите использование порта, стучащего для хранения порта закрытым, если он не требуется. Откройте ssh для адресов, Вы знаете потребность использовать его. Для пользователей на динамических адресах можно использовать whois для определения вероятного размера блока, в котором они находятся. Открытые правила должны пойти перед правилами стука порта.
Рассмотрите использование fail2ban к адресам блока, которые сканируют Вас.
Если у Вас или Ваших коллег будет статический дюйм/с, можно использовать/etc/hosts.allow и/etc/hosts.deny файлы.
Например, в/etc/hosts.allow, Вы могли поместить...
SSHD: 13.45.75.78
И для/etc/hosts.deny...
SSHD: ALL
Это запрещает всего ssh доступа кроме 13.45.74.78. Можно также использовать подстановочные знаки в случае необходимости.
одна легкая вещь мешать нападениям ssh состоит в том, чтобы изменить Ваш ssh порт. можно также добавить в белый список определенного дюйм/с с помощью denyhost или authfail.
Я соглашаюсь с yanokwa, но хочу добавить немного.
Я соглашаюсь и с использованием чередуемого порта SSH и с дюйм/с белого списка. Минимальное усилие, но значительное усиление.
Проблема, которую Вы получаете, состоит в том, если у домашних пользователей нет статического IP, который не обеспечивает большинство ISPs. Альтернатива была бы гибридным подходом. Можно оставить порт 22 как стандартный порт и добавить дюйм/с в белый список для того порта, такого как что-либо на собственной подсети, и некоторые "доверяли" дюйм/с (который мог, вероятно, имитироваться, если бы они действительно заботились). Затем используйте iptables для использования другого порта (один выше 1024), чтобы послушать и передать внутренне для портирования 22.
Поэтому порт 22 имеет значительно меньшую поверхность атаки, и можно все еще соединить от любого IP такой, как будто необходимо было соединиться от локальной точки доступа Wi-Fi.