3 votos

¿Cómo proteger contra millones intentos de login fallidos?

Cada vez que puedo acceder a mi VPS usando PuTTY, veo esto:

Last failed login: Fri Oct  6 17:25:58 UTC 2017 from xx.xxx.xxx.xxx on ssh:notty
There were 2381935 failed login attempts since the last successful login.
Last login: Tue Sep 26 09:30:02 2017 from xx.xxx.xxx.xxx

No sé lo que está relacionado, pero cuando yo inicio de sesión, se necesita más tiempo para cargar, en otros servidores que no recibe muchas error de inicio de sesión como esta, el tiempo de carga es mucho menor.

Me pueden decir si esto muchos intentos de inicio de sesión afectar al rendimiento del servidor? Y hay alguna manera de que pueda proteger en contra de esto? Quiero decir, mi contraseña para los servidores son un poco imposible de romper, pero hay una manera de evitar este fallan los intentos de inicio de sesión ?

Especificaciones del sistema:

  • Icono nombrede equipo:-vm
  • Chasis: vm
  • Virtualización: kvm
  • Sistema Operativo: CentOS Linux 7 (Core)
  • CPE Nombre del sistema operativo: cpe:/o:centos:centos:7
  • Kernel: Linux 3.10.0-514.26.2.el7.x86_64
  • Arquitectura: x86-64

5voto

JakeGould Puntos 17382

Así, puede ser profundamente fácil solución.

La información que has publicado muestra que hay 2,381,935 intentos de inicio de sesión. Que es bastante loco. Déjame adivinar: El usuario que está ingresando como es... root? Así, mientras que Fail2Ban es una solución digna a la trampa no deseados intentos de inicio de sesión hay una mucho más simple solución: Crear una nueva cuenta con un nombre nuevo que no root, que dan usuario derechos de administrador a través de Sudo y, a continuación, deshabilitar root.

En general, cualquier servidor Linux en 2017 debería simple no tiene el real root de la cuenta de activos y utilizable por cualquier motivo. Cada "script kiddie" en el mundo tiene un montón de mierda explotar los scripts que intente hackear el root de la cuenta. Y cada experto hacker ha de herramientas que intentan hackear root.

Mediante la creación de una nueva cuenta de usuario en algunos ingenioso nombre genérico usted puede venir para arriba con y desactivación root usted instantáneamente reducir la superficie de ataque y el cierre de este potencial incursión punto de poco o ningún esfuerzo.

Algunos administradores de sistemas no se como deshabilitar root por pura pereza, pero a menos de que de alguna manera de restringir el acceso al servidor por otros medios-tales como un servidor de seguridad de configuraciones basadas en la dirección IP o MAC filtrado y tal-de abrir su servidor para el riesgo.

3voto

porto alet Puntos 315

Además de fail2ban (según lo sugerido por los demás) me gustaría configurar un servidor OpenVPN en el VPS y, a continuación, un cliente en el sistema y, a continuación, utilizando un cliente de OpenVPN en el cliente(s) - y el uso de un firewall para limitar las conexiones a venir de la VPN. Esto va a ayudar a añadir una capa extra de protección/de cifrado y la ocultación de SSH.

Si la gente está tratando y no se conecta esto puede masticar importantes recursos, pero podría ser algo más (no configurado DNS inversa, el exceso de solicitudes de disco). Mirar el tiempo y de arriba para ver lo que trata de frenar las cosas.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: