Linux

數百次失敗的 ssh 登錄

  • August 11, 2020

每天晚上我都會在我的 RedHat 4 伺服器上收到數百甚至數千次失敗的 ssh 登錄。出於遠端站點的防火牆原因,我需要在標準埠上執行。我應該做些什麼來阻止它。我注意到許多來自同一個 IP 地址。不應該過一段時間就停止嗎?

您可以使用 iptables 對 SSH 埠的新傳入連接進行速率限制。我必須查看您的整個 iptables 配置才能為您提供交鑰匙解決方案,但您基本上是在談論添加以下規則:

iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 --name SSH --rsource -j DROP 
iptables -A INPUT -p tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT 

這些規則假定您在表的前面接受 ESTABLISHED 連接(這樣只有新連接才會符合這些規則)。新的 SSH 連接將符合這些規則並被標記。在 60 秒內,來自單個 IP 地址的 5 次嘗試將導致來自該 IP 的新傳入連接被丟棄。

這對我來說效果很好。

編輯:我更喜歡這種方法而不是“fail2ban”,因為不需要安裝額外的軟體,並且完全在核心模式下發生。它不會像“fail2ban”那樣處理解析日誌文件,但如果您的問題僅與 SSH 有關,我不會使用需要安裝軟體且更複雜的使用者模式。

引用自:https://serverfault.com/questions/17870