Бросьте грубых садоводов в ловушку, но все еще позвольте реальные логины SSH?
Таким образом, только для забавы я открыл SSH миру, и несколько ботов фиксировались на моем сервере (неудачно пытающийся войти в систему паролем). Но конечно это заполняет журналы. Я попытался использовать DenyHosts, но так или иначе он действительно не работает, таким образом, я думал, "Почему бы не использовать ловушку?"
Проблема, я хочу позволить хорошие логины при отправке всем остальным в ловушку.
Там какой-либо путь состоит в том, чтобы просочиться корректные логины реального сервера SSH и оставить всех остальных в ловушке?
Если вы хотите разрешить легальные входы в SSH при отключении (через honeypot) фальшивки, я бы сменил галс.
Поставьте свой SSHD на другой порт, например 2323 или какой-нибудь другой нечетный порт, и перенаправьте соединения на этот порт. В идеале у вас есть отдельная машина для этого, так что вы можете сказать своему маршрутизатору, чтобы он переадресовал порт 2323 на внутреннюю машину XYZ порт 22.
Откройте порт 22 для переадресации на вашу машину honeypot ABC на порт 22.
Если вообще возможно, настройте вашу сеть так, чтобы honeypot находился в DMZ вдали от ваших законных сетевых систем. Иначе у вас возникнут проблемы.
Использование такого инструмента, как fail2ban, в качестве отправной точки позволит вам относиться к тем, кто пытается применить грубую силу иначе, чем к законным пользователям.
Обычно fail2ban просто отвергает соединения, но я думаю, что было бы нетрудно изменить его, чтобы перенаправить соединения на honeypot вместо этого.
Коварная часть на самом деле будет ключом хоста. С одной стороны, вы не хотите, чтобы honeypot имел доступ к ключу вашего хоста по соображениям безопасности. Но с другой стороны, вы не хотите, чтобы злоумышленники заметили, что они направлены на другой SSH-сервер
.