Необходимость обеспечения безопасности sshd
Некоторые системные администраторы могут заметить, что злоумышленники пытаются войти в систему с общими именами пользователей и паролями через SSH.
В системных журналах /var/log/secure можно увидеть записи, аналогичные приведенным ниже для многих распространенных имен пользователей (таких как «admin», «guest», «test» и «root»):
Oct 28 11:11:08 hostname sshd[13412]: Illegal user admin from 172.16.59.10 Oct 28 11:11:12 hostname sshd[13412]: Failed password for illegal user admin from 172.16.59.10 port 33762 ssh2
Повторные попытки могут свидетельствовать о том, что злоумышленник пытается угадать пароль для конкретной учетной записи, особенно для учетной записи root, брутфорсом.
Атака брутфорса – это та, в которой пароль неоднократно угадывается, пока не будет найден правильный.
Как обезопасить демона SSHD?
Есть много способов сделать SSH более безопасным.
Здесь мы обсудим некоторые рекомендации.
Использование TCP Врапперов
Самый простой способ защитить демон SSH – это выборочно запретить доступ к нему с помощью функций из пакета tcp_wrappers-libs.
Этот пакет установлен по умолчанию.
tcpwrappers настраиваются через файлы /etc/hosts.allow и /etc/hosts.deny.
Чтобы полностью запретить доступ к демону SSH, добавьте следующий текст в /etc/hosts.deny:
# vi /etc/hosts.deny sshd: ALL
Это полностью отключит доступ к демону SSH с любого клиента.
Если есть несколько хостов, которым нужно разрешить подключение, добавьте следующие строки в /etc/hosts.allow:
# vi /etc/hosts.allow sshd: 192.168.0.1, trusted.one-domain.com, 192.168.23.0/24, *.trusted.net
Это позволит подключаться с IP-адреса 192.168.0.1, имени хоста trust.one-domain.com, сети 192.168.23.0/24 и домена * .trusted.net при запрете любых других подключений.
Помните, вам нужно запретить и разрешить хост / сети.
Использование iptables
Когда у вас есть хост в локальной корпоративной сети, вероятно, достаточно использовать TCP Wrappers, так как большинство хостов находятся под вашим контролем, так что вы можете гарантировать низкий риск атаки.
Но что произойдет, если у вас есть служба SSHD, работающая через Интернет, или в неуправляемой (враждебной) сети, такой как site2site vpn с провайдером?
Вы можете получить больше контроля над доступом с iptables.
Также iptables может дать вам больше гибкости и надежности.
Вы можете перечислить свой набор правил с помощью команды «iptables -nL –line-numbers», чтобы увидеть, какие правила уже существуют, это правила по умолчанию, которые пришли с новой установкой CentOS / RHEL 6:
# iptables -nL --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) num target prot opt source destination
Затем вы можете добавить или удалить правила.
Следующие примеры в цепочке INPUT вставят правило в iptables.
Помните, что вам нужно поставить правило на определенную позицию, т.е. Строка 3, просто над правилами DROP по умолчанию, вы можете указать это следующим образом:
# iptables -I INPUT 3 -p TCP -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT
Выполнение следующей команды от имени root приведет к удалению всего доступа SSH к 192.168.1.22:
# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.22 --dport 22 -j DROP
Пожалуйста, обратитесь к man iptables для дополнительных опций и использования, или autohelp iptables –help для краткого резюме:
# man iptables # autohelp iptables
Если вы хотите включить определенный хост, вы можете запустить следующую команду, чтобы разрешить доступ:
# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT
Кроме того, одним из лучших вариантов использования брандмауэра в случае службы SSH в небезопасной сети является применение контроля скорости передачи по незащищенным источникам; чтобы сделать это, вам просто нужно использовать:
# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j LOG --log-prefix 'SSH-HIT-RATE: ' # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j DROP # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -j ACCEPT # on the default fresh-install ruleset this rule is already in place, you can ignore
Эти 3 правила устанавливают скорость прохождения 12 новых попыток подключения в минуту, вам необходимо настроить эти значения в соответствии с вашими потребностями.
Все журналы этого правила появятся в файле /var/log/messages, префикс «SSH-HIT-RATE» используется для облегчения поиска связанных записей.
Пожалуйста, обратите особое внимание, когда вы проверяете свои новые правила.
Если вы допустили некритическую ошибку, вы можете вернуться к предыдущей сохраненной конфигурации, используя «service iptables force-reload».
Когда конфигурация была завершена, вы можете сохранить правила брандмауэра с помощью «service iptables save».
Использование /etc/ssh/sshd_config
Существуют и другие шаги, которые можно предпринять, если ограничение доступа невозможно.
Вот некоторые из лучших практик конфигурации SSHD:
Наиболее рекомендуемое действие, особенно в качестве защиты от атак методом “брутфорса”, должно состоять в том, чтобы предотвратить вход root напрямую через SSH.
Для этого вам нужно изменить строку, которая гласит:
# vi /etc/ssh/sshd_config #PermitRootLogin yes
следующему виду:
# vi /etc/ssh/sshd_config PermitRootLogin no
Это изменение потребует, чтобы вы сконфигурировали sudo или использовали su для получения привилегий в качестве пользователя root в сеансе ssh пользователя без полномочий root.
Кроме того, вы можете настроить ssh-ключи для пользователя root и использовать опцию ниже, чтобы позволить пользователю root войти в систему только с ключами.
# vi /etc/ssh/sshd_config PermitRootLogin without-password
Измените определенный порт, отличный от порта по умолчанию.
Можно изменить его на любое случайное число от 1025 до 65535, так как злоумышленники предположат, что порт 22 будет использоваться для протокола ssh.
Найдите эту строку в /etc/sshd/sshd_config:
#Port 22
Измените это на что-то вроде этого:
Port 1101
Номер порта 1101 просто является примером.
Теперь вам нужно получить доступ к этому серверу через порт 1101 при подключении по ssh:
$ ssh someuser@ssh-server:1101
Убедитесь, что сервер принимает только протокол SSH версии 2:
# Protocol 2,1 ### hash this entry and make below entry to allo only ssh v2. Protocol 2
Измените время, которое пользователь может проводить с открытым приглашением для входа в систему (значение в секундах):
# Default value is 120 seconds. # Adjust this value according your needs. LoginGraceTime 30
Это сокращает некоторые DoS-атаки, которые можно выполнять, имитируя медленный вход в систему.
Сторонние приложения
Чтобы заблокировать доступ к хостам, пытающимся атаковать систему методом брута, можно использовать следующие дополнительные сервисы сторонних пакетов:
Они работают на разных уровнях, обеспечивая разный подход к конкретному событию.