Недавно случайно заметив в логах кучи попыток подключится ко мне из турций, бразилий и прочих стран забугорных через ssh, решил что защиту надо укреплять.
Самым оптимальным на мой взгляд выходом стала защита от брута по средству простых, но хороших правил. Если с одного ip подключаются 5 раз провалив авторизацию в течении 10 минут (600 сек.) то ip заносится в бан-лист на час (примерно).
# создаём счетчик попыток подключения
iptables -N ssh_brute_check
# лочим назойливые ip по вышеописанному принципу: свыше пяти коннектов за 10 минут.
iptables -A ssh_brute_check -m recent --update --seconds 600 --hitcount 5 -j DROP
# если ip новый то разрешаем, но в список заносим
iptables -A ssh_brute_check -m recent --set -j ACCEPT
# все новые попытки отдаем на проверку
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j ssh_brute_check
4 строчки - душевное спокойствие)
Комментариев нет:
Отправить комментарий