К основному контенту

Как заблокировать домен с помощью RPZ на сервере Bind DNS на CentOS

Как защитить ssh в CentOS / RHEL / Fedora

Необходимость обеспечения безопасности sshd

Некоторые системные администраторы могут заметить, что злоумышленники пытаются войти в систему с общими именами пользователей и паролями через SSH.

В системных журналах /var/log/secure можно увидеть записи, аналогичные приведенным ниже для многих распространенных имен пользователей (таких как «admin», «guest», «test» и «root»):

Oct 28 11:11:08 hostname sshd[13412]: Illegal user admin from 172.16.59.10Oct 28 11:11:12 hostname sshd[13412]: Failed password for illegal user admin from 172.16.59.10 port 33762 ssh2

Повторные попытки могут свидетельствовать о том, что злоумышленник пытается угадать пароль для конкретной учетной записи, особенно для учетной записи root, брутфорсом.

Атака брутфорса — это та, в которой пароль неоднократно угадывается, пока не будет найден правильный.

Как обезопасить демона SSHD?

Есть много способов сделать SSH более безопасным.

Здесь мы обсудим некоторые рекомендации.

Использование TCP Врапперов

Самый простой способ защитить демон SSH — это выборочно запретить доступ к нему с помощью функций из пакета tcp_wrappers-libs.

Этот пакет установлен по умолчанию.

tcpwrappers настраиваются через файлы /etc/hosts.allow и /etc/hosts.deny.

Чтобы полностью запретить доступ к демону SSH, добавьте следующий текст в /etc/hosts.deny:

# vi /etc/hosts.denysshd: ALL

Это полностью отключит доступ к демону SSH с любого клиента.

Если есть несколько хостов, которым нужно разрешить подключение, добавьте следующие строки в /etc/hosts.allow:

# vi /etc/hosts.allowsshd: 192.168.0.1, trusted.one-domain.com, 192.168.23.0/24, *.trusted.net

Это позволит подключаться с IP-адреса 192.168.0.1, имени хоста trust.one-domain.com, сети 192.168.23.0/24 и домена * .trusted.net при запрете любых других подключений.

Помните, вам нужно запретить и разрешить хост/сети.

Использование iptables

Когда у вас есть хост в локальной корпоративной сети, вероятно, достаточно использовать TCP Wrappers, так как большинство хостов находятся под вашим контролем, так что вы можете гарантировать низкий риск атаки.

Но что произойдет, если у вас есть служба SSHD, работающая через Интернет, или в неуправляемой (враждебной) сети, такой как site2site vpn с провайдером?

Вы можете получить больше контроля над доступом с iptables.

Также iptables может дать вам больше гибкости и надежности.

Вы можете перечислить свой набор правил с помощью команды «iptables -nL –line-numbers», чтобы увидеть, какие правила уже существуют, это правила по умолчанию, которые пришли с новой установкой CentOS/RHEL 6:

# iptables -nL --line-numbersChain INPUT (policy ACCEPT)numtarget prot opt source destination 1ACCEPT all--0.0.0.0/00.0.0.0/0 state RELATED,ESTABLISHED 2ACCEPT icmp --0.0.0.0/00.0.0.0/0 3ACCEPT all--0.0.0.0/00.0.0.0/0 4ACCEPT tcp--0.0.0.0/00.0.0.0/0 state NEW tcp dpt:22 5REJECT all--0.0.0.0/00.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT)numtarget prot opt source destination 1REJECT all--0.0.0.0/00.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT)numtarget prot opt source destination

Затем вы можете добавить или удалить правила.

Следующие примеры в цепочке INPUT вставят правило в iptables.

Помните, что вам нужно поставить правило на определенную позицию, т.е. Строка 3, просто над правилами DROP по умолчанию, вы можете указать это следующим образом:

# iptables -I INPUT 3 -p TCP -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT

Выполнение следующей команды от имени root приведет к удалению всего доступа SSH к 192.168.1.22:

# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.22 --dport 22 -j DROP

Пожалуйста, обратитесь к man iptables для дополнительных опций и использования, или autohelp iptables –help для краткого резюме:

# man iptables# autohelp iptables

Если вы хотите включить определенный хост, вы можете запустить следующую команду, чтобы разрешить доступ:

# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT

Кроме того, одним из лучших вариантов использования брандмауэра в случае службы SSH в небезопасной сети является применение контроля скорости передачи по незащищенным источникам; чтобы сделать это, вам просто нужно использовать:

# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j LOG --log-prefix 'SSH-HIT-RATE: '# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j DROP# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -j ACCEPT # on the default fresh-install ruleset this rule is already in place, you can ignore

Эти 3 правила устанавливают скорость прохождения 12 новых попыток подключения в минуту, вам необходимо настроить эти значения в соответствии с вашими потребностями.

Все журналы этого правила появятся в файле /var/log/messages, префикс «SSH-HIT-RATE» используется для облегчения поиска связанных записей.

Пожалуйста, обратите особое внимание, когда вы проверяете свои новые правила.

Если вы допустили некритическую ошибку, вы можете вернуться к предыдущей сохраненной конфигурации, используя «service iptables force-reload».

Когда конфигурация была завершена, вы можете сохранить правила брандмауэра с помощью «service iptables save».

Использование /etc/ssh/sshd_config

Существуют и другие шаги, которые можно предпринять, если ограничение доступа невозможно.

Вот некоторые из лучших практик конфигурации SSHD:

Наиболее рекомендуемое действие, особенно в качестве защиты от атак методом «брутфорса», должно состоять в том, чтобы предотвратить вход root напрямую через SSH.

Для этого вам нужно изменить строку, которая гласит:

# vi /etc/ssh/sshd_config#PermitRootLogin yes

следующему виду:

# vi /etc/ssh/sshd_configPermitRootLogin no

Это изменение потребует, чтобы вы сконфигурировали sudo или использовали su для получения привилегий в качестве пользователя root в сеансе ssh пользователя без полномочий root.

Кроме того, вы можете настроить ssh-ключи для пользователя root и использовать опцию ниже, чтобы позволить пользователю root войти в систему только с ключами.

# vi /etc/ssh/sshd_configPermitRootLogin without-password

Измените определенный порт, отличный от порта по умолчанию.

Можно изменить его на любое случайное число от 1025 до 65535, так как злоумышленники предположат, что порт 22 будет использоваться для протокола ssh.

Найдите эту строку в /etc/sshd/sshd_config:

#Port 22

Измените это на что-то вроде этого:

Port 1101

Номер порта 1101 просто является примером.

Теперь вам нужно получить доступ к этому серверу через порт 1101 при подключении по ssh:

$ ssh someuser@ssh-server:1101

Убедитесь, что сервер принимает только протокол SSH версии 2:

# Protocol 2,1 ### hash this entry and make below entry to allo only ssh v2.Protocol 2

Измените время, которое пользователь может проводить с открытым приглашением для входа в систему (значение в секундах):

# Default value is 120 seconds.# Adjust this value according your needs.LoginGraceTime 30

Это сокращает некоторые DoS-атаки, которые можно выполнять, имитируя медленный вход в систему.

Сторонние приложения

Чтобы заблокировать доступ к хостам, пытающимся атаковать систему методом брута, можно использовать следующие дополнительные сервисы сторонних пакетов:

  • fail2ban
  • denyhost
  • sshguard
  • sentry

Они работают на разных уровнях, обеспечивая разный подход к конкретному событию.

Комментарии


Дистанционная компьтерная помощь, удаленная компьютерная помощь онлайн.

Популярные сообщения из этого блога

Лучшие плагины для OBS Studio

Open Broadcast Software или OBS - это свободное программное обеспечение с открытым исходным кодом для стриминга аудио и видео данных в сеть интернет. Программа полностью кроссплатформенная и может работать в Windows, Linux или MacOS. Это отличная альтернатива для таких программ, как Wirecast и XSplit. OBS использует для вещания стандартный протокол обмена сообщениями в реальном времени, а поэтому может транслировать данные в любой сервис, поддерживающий это, например, Yotube. Несмотря на широкие возможности OBS, программа поддерживает еще и множество плагинов. В этой статье мы рассмотрим лучшие плагины для OBS Studio, которые вы можете использовать. Содержание статьи: Лучшие плагины OBS Studio 1. Browser Source Plugin 2. Video Source Plugin 3. Simple Scene Switcher 4. DirectShow Audio Source 5. CLR Browser Source 6. OBS Remote 7. AMD Advanced Media Framework Encoder 8. Text Source Plugin Выводы Лучшие плагины OBS Studio Чтобы найти плагины OBS Studio для Video пользо

Лучшие аналоги Paint для Linux

Когда я работал в Windows, я часто использовал стандартную программу редактора изображений Windows - Paint. Не всегда нужен очень и многофункциональный инструмент вроде Photoshop или Gimp. Иногда, чтобы подправить ту или иную картинку, дорисовать на ней несколько фигур или вставить текст достаточно простого, легкого в освоении графического редактора вроде Paint. В Linux таких программ довольно много. В этой инструкции мы рассмотрим лучшие аналоги Paint для Linux. В этот список не будут включены такие программы, как Gimp и Krita, ведь это полнофункциональные графические редакторы, векторные редакторы, такие как Inkscape мы тоже рассматривать не будем. А теперь перейдем к списку. Содержание статьи: KolourPaint MyPaint Gnome Paint XPaint Pinta mtPaint GPaint Rassam-paint Выводы KolourPaint На первом месте в списке аналогов Piant для Linux будет KoloutPaint. Это стандартный графический редактор для окружения рабочего стола KDE. Он поддерживает множество форматов изображе

Подключение OneDrive в Linux

OneDrive (Ранее известный как SkyDrive) это популярное облачное хранилище файлов от Майкрософт. Сейчас OneDrive бесплатно предоставляет 7 гигабайт пространства новым пользователям. Как вы знаете OneDrive хорошо интегрирован с другими продуктами компании  Microsoft. В OneDrive Также есть официальный клиент который автоматически загружает ваши видео и фотографии с камеры в облако. Но к сожалению этот клиент недоступен для операционных систем семейства Linux. Но не все так плохо. Сообщество открытого программного обеспечения уже нашло решение. Это opedrive-d от Boilermaker. Запустившись как демон программа автоматически синхронизирует локальную папку с облаком OneDrive. Содержание статьи: Установка Onedrive-d в Linux Настройка Синхронизация локальной папки с OneDrive Установка Onedrive-d в Linux Несмотря на то что onedrive-d разрабатывается для Ubuntu/Debian, CentOs/Fedora/RHEL поддерживается тоже хорошо. Для установки достаточно набрать несколько команд: $ git clone h