数百个失败的ssh登录

Modified on: Thu, 14 Nov 2019 05:00:02 +0800

每天晚上,我在RedHat 4服务器上收到数百甚至数千个失败的ssh登录信息。出于远程站点的防火墙原因,我需要在标准端口上运行。有什么我应该做的来阻止这个。我注意到许多来自同一个IP地址。一段时间不应该阻止它们吗?

最佳答案

您可以使用iptables对SSH端口的新传入连接进行速率限制。我必须看到你的整个iptables配置,以便为你提供一个交钥匙解决方案,但你基本上是在谈论添加如下规则:

iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 --name SSH --rsource -j DROP 
iptables -A INPUT -p tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT 

这些规则假设您在表中较早接受ESTABLISHED连接(因此只有新连接才会符合这些规则)。新的SSH连接将遵循这些规则并进行标记。在60秒内,来自单个IP地址的5次尝试将导致该IP的新传入连接被丢弃。

这对我来说效果很好。

编辑:我更喜欢这种方法“fail2ban”,因为没有安装额外的软件,完全在内核模式下发生。它不处理像“fail2ban”这样的解析日志文件,但是如果你的问题只是用SSH我不会使用需要软件安装的用户模式并且更复杂。


相关问答

添加新评论