Серьезным
пацанам не надо обьяснять, что проактивная
IDS (Intrusion Detection System) необходима для их
серьезных систем. А нам хватит чего
попроще. Например, что может быть проще,
чем применение iptables для защиты от
брутфорсных атак на SSH? Достаточно
понизить скорость перебора паролей и
атака становится совершенно нерентабельной.
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Всего две
строчки — а какой эффект. Не более трех
попыток коннекта на 22 порт в минуту.
Заодно можно
проверить конфиг sshd, тюнинг не помешает:
Еще? Спросите
гугель:
original post http://vasnake.blogspot.com/2013/08/ssh.html
Комментариев нет:
Отправить комментарий