Wie kann ich eine IP nach mehreren falschen Passwortversuchen vorübergehend sperren?

7

Mein neuer Server wurde gehackt (seufz).

Ich habe physischen Zugriff auf meine Maschine. Anscheinend wurden nur ein neues Benutzerkonto und eine fehlerhafte /etc/sudoersDatei geändert .

Es scheint, als ob das Passwort durch einen Wörterbuchangriff entdeckt wurde.

Nachdem ich diese Probleme behoben habe (oder eine vollständige Neuinstallation durchgeführt habe?), Möchte ich einen Mechanismus hinzufügen, um eine IP zu sperren (für möglicherweise 24 Stunden oder ein bestimmtes Zeitlimit), nachdem das Kennwort x-mal falsch eingegeben wurde, aber ich bin es Kein Unix-Systemadministrator oder so, daher bin ich mir nicht sicher, wo ich anfangen soll.

Welche Software soll ich verwenden und wie kann ich sie konfigurieren?

Vielen Dank.

login security password sova
quelle
Unter der Annahme, dass Anmeldungen mit SSH versucht wurden, empfehle ich dringend, die Authentifizierung mit öffentlichen Schlüsseln zu prüfen und deren Verwendung nach Möglichkeit zu erzwingen (und die Anmeldung mit Kennwörtern nicht zuzulassen). Nach meiner Erfahrung ist dies genauso effektiv, um grundlegende Hacking-Versuche zu verhindern wie fail2ban und dergleichen. Beide Ansätze können bei Bedarf auch kombiniert werden.
Mnagel

Antworten:

7

fail2banist eine gute Lösung, aber ich bin ein Fan von DenyHosts , das in den Repos verfügbar ist. Tun Sie es einfach sudo apt-get install denyhosts, und das installiert DenyHosts und startet es mit einer ziemlich vernünftigen Konfiguration.

Paul Fisher
quelle
9

Ich empfehle, sich fail2ban anzuschauen, um dies für Sie zu tun:

https://help.ubuntu.com/community/Fail2ban

(Außerdem würde ich nur eine Neuinstallation durchführen, insbesondere wenn sie Root-Zugriff hätten.)

Kees Cook
quelle
Standardmäßig ist der Root-Benutzer in Ubuntu deaktiviert. Die auf Fail2Ban und SSH-Schlüsseln basierende Authentifizierung ist sicherer als das Kennwort.
Khimananda Oli
Wenn es ihnen gelang, die sudoersDatei zu beschädigen, gelang es ihnen, Root-Zugriff zu erhalten. Eine Neuinstallation ist jetzt obligatorisch .
Shadur