Re: 有防 ssh 的入侵方法嗎..

看板FreeBSD作者AriesH.時間20年前 (2005/05/31 02:01)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串10/11 (看更多)

※ 引述《Modena.bbs@bbs.nchu.edu.tw (水曜日的桌球)》之銘言： > ※ 引述《a48602.bbs@bbs.badcow.com.tw (陳一中)》之銘言： > > 就加用如下 ipfw 設定, 將就用一下先擋一擋, 再等高手們更好的提議方法。 > > ipfw add 100 skipto 1000 ip from me to 192.168.1.0/24 dst-port 22 > > ipfw add 105 skipto 1000 ip from 192.168.1.0/24 to me dst-port 22 > > ipfw add 110 deny ip from any to me dst-port 22 > > ipfw add 1000 allow ip from any to any > 如果可以確定source ip,在firewall上限定該source ip才能access ssh即可提供我們的作法給您參考： (1) 檢查 /etc/passwd 中各個使用者帳戶的 shell，非必要的帳戶不允許登入，例如 /bin/bash 等等的 shell (2) 針對某些會用到 shell 但不需要 ssh 遠端連入的帳戶（步驟 1 　　　　的漏網之魚），在 ssh 設定檔中新增 DenyUsers xxx ......的敘述，禁止其使用 ssh (3) 在 /etc/hosts.all 裡添加關於 ssh 的敘述，以 TCP Warper 方式限定部份 IP 或網段才能使用 ssh；或可在防火牆中設定。 (4) 建立第一線的 NAT，轉換實體 IP (5) 設立第一線的入口跳板機，該主機： 1. 只提供 ssh 服務及權限 2. 只開啟數量有限、名稱不易被猜到的帳戶，且該帳戶與網域帳戶均不同，也不允許 sudo 功能。 3. 封鎖所有非 ssh 之封包。　　遠端需要以 ssh 方式網域各主機時，先連入跳板機，然後在跳至網域內伺服器後再由 ssh 主機轉連至內部所有需要以 ssh 遙控的伺服器。這樣的跳板機有幾項可能的優點： 1. 由於這部跳板機帳戶少（必要的話請設定特別的帳戶名稱）、提供服務也僅有 ssh，所以攻防戰縮減至單一入口。即使淪陷也具有緩衝作用。 2. 跳板機對封包的檢查嚴格，回應遠較其他伺服器為慢，遭遇到暴力法(例如以字典檔等等測試帳戶及密碼)的攻擊時，入侵者可能因跳板機回應遲緩而增加放棄的可能，我們遇過一些像這樣「沒有耐心」的 cracker。 3. 跳板機不提供任何網頁或 FTP 常見的服務，較不容易成為被入侵的焦點。（對掃 ports 的 crack 例外...）這是我們想到可能的作法，目前看起來或多或少有效。但是不一定夠聰明，僅供您參考。 Aries -- ┌─────◆ＫＫＣＩＴＹ◆─────┐★☆ 數十萬首歌曲，22種音樂分類 ☆★ │ bbs.kkcity.com.tw │□□ 與各大唱片行同步的音樂收藏 □□ └──《From:140.112.233.155 》──┘快來~KKBOX →http://www.kkbox.com.tw