數百次失敗的 ssh 登錄

每天晚上我都會在我的 RedHat 4 伺服器上收到數百甚至數千次失敗的 ssh 登錄。出於遠端站點的防火牆原因，我需要在標準埠上執行。我應該做些什麼來阻止它。我注意到許多來自同一個 IP 地址。不應該過一段時間就停止嗎？

您可以使用 iptables 對 SSH 埠的新傳入連接進行速率限制。我必須查看您的整個 iptables 配置才能為您提供交鑰匙解決方案，但您基本上是在談論添加以下規則：

iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 --name SSH --rsource -j DROP 
iptables -A INPUT -p tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT 

這些規則假定您在表的前面接受 ESTABLISHED 連接（這樣只有新連接才會符合這些規則）。新的 SSH 連接將符合這些規則並被標記。在 60 秒內，來自單個 IP 地址的 5 次嘗試將導致來自該 IP 的新傳入連接被丟棄。

這對我來說效果很好。

編輯：我更喜歡這種方法而不是“fail2ban”，因為不需要安裝額外的軟體，並且完全在核心模式下發生。它不會像“fail2ban”那樣處理解析日誌文件，但如果您的問題僅與 SSH 有關，我不會使用需要安裝軟體且更複雜的使用者模式。

引用自：https://serverfault.com/questions/17870