[Techinfo] Biztonsági eszmecsere - SSH - Megtámadtak! Jaj, jaj, ...

[Veres Sándor]

2018.09.20. 9:19 keltezéssel, József Venczel írta:
> A legnagyobb gondom az, hogy ez így működik is, mert már szeptember 16 
> óta folyamatosan próbálkoznak és nem jutottak be, de ha telepítek erre 
> a rendszerre egy Proxmoxot, akkor az néhány óra múlva összeomlik.
> A támadás 6-7 ip címről megy, tehát az nem opció, hogy iptables-sel 
> kizárom őket, mert fognak egy másik ip címet és folytatják arról.
> Az igazsághoz még hozzátartozik, hogy csak most van szükségem erre, 
> mert később ezen az interface-en letiltom az ssh-t.
> Mégis mit állítsak még be, hogy elvegyem a kedvüket a próbálkozástól?

Ha a szerver egy alap telepítés, és kapott IPv6 címet is, és publikusan 
is elérhet kívülről, akkor IPv-6-on is elérhetik, támadhatják. Ha nincs 
szükség az IPv6-ra, akkor érdemes letiltani az IPv6-ot a szerver külső 
interfészén.
Nem értem. Ha a szerverre nem jutnak be ssh-n, jelszóval nem is lehet 
belépni ssh-n, akkor mitől omlik össze a Proxmox? A proxmox webes 
felülete nem érhető el véletlenül kívülről, akár IPv6-on? A proxmox-ot 
utólag telepíted a szerverre? Milyen Debian verzió? Ha megoldható, akkor 
érdemes ISO-ból telepíteni a Proxmox-ot, tiszta telepítésként.

> Arra gondoltam, ha a LoginGraceTime értékét megnövelném, mondjuk 24 
> órára, akkor egy ip címről csak egyszer tudnának próbálkozin naponta.

Ezzel magadat nem tiltod ki?

Az alábbi beállításokat
Port 14963 # de inkább egy másikat, mert ezt már közzétettük :)
AddressFamily inet
ListenAddress 127.0.0.1
ListenAddress [IP-cím amin elérhető]
LoginGraceTime 10
PubkeyAuthentication yes
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
AuthorizedKeysFile      .ssh/authorized_keys .ssh/authorized_keys2

És ezeket is érdemes lehet beállítani megfelelő értékkel: MaxAuthTries, 
MaxSessions

Veres Sándor