Ochrana SSH démona proti útokům (1)

Jednou z možných ochran proti SSH útokům, kdy se útočník pomocí automatizovaných skriptů snaží periodicky lámat účty uživatelů s jednoduchými hesly (třeba uživatel user a heslo user), je použití iptables a programu sshdfilter.

Jak to funguje?

SSH démon zapisuje do logu neúspěšné pokusy o zalogování - typicky vypadají nějak takto:

Did not receive identification string from x.x.x.x
Illegal user x from x.x.x.x
Failed password for illegal user x from x.x.x.x port x ssh2
Failed password for x from x.x.x.x port x ssh2

sshdfilter je jednoduchý skript napsaný v Perlu, který tyto neúspěšné pokusy sleduje a v případě, že počet neúspěšných pokusů z jedné IP adresy překročí určitý počet (tento počet lze nastavit), tak vytvoří pravidlo do firewallu (skript využívá vlastní řetězec, takže nehrozí riziko přepsání), které bude blokovat traffic z dané IP adresy na port 22. Lze nastavit i dobu po jakou bude tento traffic z dané IP adresy blokován. Tímto způsobem lze jednoduše odfiltrovat poměrně velký počet útoků.

Instalace

Instalace v distribuci CentOS 4.3 se provede následovně:

wget http://www.csc.liv.ac.uk/~greg/sshdfilter-1.4.4.tar.gz

su -
cp /home/user/sshdfilter-1.4.4.tar.gz /usr/src
cd /usr/src
tar zxvf sshdfilter-1.4.4.tar.gz
cd sshdfilter-1.4.4

perl install.pl

Ještě je potřeba ručně upravit pravidla firewallu - tedy soubor /etc/sysconfig/iptables, do kterého přidáme na vhodná místa následující řádky:

:SSHD - [0:0]
...
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 22 -j SSHD

Pak už stačí restartovat patřičné služby:

/etc/init.d/iptables restart
/etc/init.d/sshd restart

Konfigurace

Konfigurační soubor se nachází v /etc/sshdfilterrc.