Wie kann ich eine IP nach mehreren falschen Passwortversuchen vorübergehend sperren?

7

Mein neuer Server wurde gehackt (seufz).

Ich habe physischen Zugriff auf meine Maschine. Anscheinend wurden nur ein neues Benutzerkonto und eine fehlerhafte /etc/sudoersDatei geändert .

Es scheint, als ob das Passwort durch einen Wörterbuchangriff entdeckt wurde.

Nachdem ich diese Probleme behoben habe (oder eine vollständige Neuinstallation durchgeführt habe?), Möchte ich einen Mechanismus hinzufügen, um eine IP zu sperren (für möglicherweise 24 Stunden oder ein bestimmtes Zeitlimit), nachdem das Kennwort x-mal falsch eingegeben wurde, aber ich bin es Kein Unix-Systemadministrator oder so, daher bin ich mir nicht sicher, wo ich anfangen soll.

Welche Software soll ich verwenden und wie kann ich sie konfigurieren?

Vielen Dank.

login security password

— sova
quelle

Unter der Annahme, dass Anmeldungen mit SSH versucht wurden, empfehle ich dringend, die Authentifizierung mit öffentlichen Schlüsseln zu prüfen und deren Verwendung nach Möglichkeit zu erzwingen (und die Anmeldung mit Kennwörtern nicht zuzulassen). Nach meiner Erfahrung ist dies genauso effektiv, um grundlegende Hacking-Versuche zu verhindern wie fail2ban und dergleichen. Beide Ansätze können bei Bedarf auch kombiniert werden.

— Mnagel

7

fail2banist eine gute Lösung, aber ich bin ein Fan von DenyHosts , das in den Repos verfügbar ist. Tun Sie es einfach sudo apt-get install denyhosts, und das installiert DenyHosts und startet es mit einer ziemlich vernünftigen Konfiguration.

— Paul Fisher
quelle

9

Ich empfehle, sich fail2ban anzuschauen, um dies für Sie zu tun:

https://help.ubuntu.com/community/Fail2ban

(Außerdem würde ich nur eine Neuinstallation durchführen, insbesondere wenn sie Root-Zugriff hätten.)

— Kees Cook
quelle

Standardmäßig ist der Root-Benutzer in Ubuntu deaktiviert. Die auf Fail2Ban und SSH-Schlüsseln basierende Authentifizierung ist sicherer als das Kennwort.

— Khimananda Oli

Wenn es ihnen gelang, die sudoersDatei zu beschädigen, gelang es ihnen, Root-Zugriff zu erhalten. Eine Neuinstallation ist jetzt obligatorisch .

— Shadur

3

CSF ist eine bessere Option für Sie.

Ref: http://humanlinux.blogspot.com/2009/05/how-to-install-csf-in-ubuntu-linux.html

— aneeshep
quelle

+1. CSF ist großartig. Ich habe Fail2Ban schon früher ohne Probleme verwendet, aber CSF ist wirklich ein großer Schritt nach vorne.

— Aron Rotteveel

CSF klingt cool, aber ich bin traurig, dass es keine Repo-Pakete gibt, so dass ich es einfach bekommen kann

— sova