tuaca dpashley% dpkg -L apache2.2-common | grep ldap /etc/apache2/mods-available/ldap.load /etc/apache2/mods-available/authnz_ldap.load /usr/lib/apache2/modules/mod_authnz_ldap.so /usr/lib/apache2/modules/mod_ldap.so
Это встраивают в апачские 2.2 и называют authnz-ldap.
хотя редкий, существует все еще 0-дневное использование..., таким образом, Вы никогда не знаете. возможно, Вы действительно ли ограничиваете, может получить доступ для портирования 22 [на уровне брандмауэра] только к немногим хостам/сетям?
или возможно можно ли пойти security-though-obscurity путем и реализовать ли стук порта?
Помните, что ВАШ пароль может быть очень сильным, в то время как у других пользователей могут возможно быть действительно слабые пароли. Поместить AllowGroups
или AllowUsers
в /etc/ssh/sshd_config
выключать ssh доступ для других пользователей.
Также помните, что Ваш пароль может быть слишком безопасным: Этот пароль будет почти наверняка записан.
Сказав, что я думаю, что Вы довольно в безопасности; если Вы объединяетесь со стуком порта или таким образом, Вы очень в безопасности.
Все это зависит от того, как быстро взломщик может стучать на Вашем tcp/22 порте для логинов. Если Вы не используете что-то для завершения таких повторных соединений, вовремя любой пароль может быть обнаружен. В этом случае время будет очень долгим временем. Месяцы постоянного стука. В журналах SSH я взял прогулку через, я видел мало направленного стука против определенных учетных записей и большой дверной стук, ища слабые пароли.
Однако Вы не можете предположить, что все взломщики являются случайными. У кого-то бывшего нацеленного на Вас конкретно будут инвестиции для ожидания нескольких месяцев для врываний. Именно по причинам как этот общий ключ предпочтен, если это возможно. Пароль, который Вы описываете, очень вероятно, будет тремя девятками, невозможными расколоться (в ограничениях разумного срока). Я не задержал бы дыхание для пяти девяток.
apt-get install denyhosts
(debian базирующийся) pkg_add -r denyhosts
(FreeBSD) является одной из первых вещей сделать на новом поле.
– Pete
9 July 2010 в 02:27
Используйте denyhosts. Также рассмотрите использование основанного на ключе входа в систему, а не пароля.
Перемещение sshd к нестандартному порту, вероятно, было бы тривиально для добавления к конфигурации, и это, вероятно, устранит 99% ssh трафика бота. Почему подвергают себя всем атакам перебором, когда можно скрыться так легко.;-)
Я также обычно рекомендую настроить sshd для использования только SSH основанная на паре ключей аутентификация, если это будет выставленным Интернету в целом. Пока Вы сохраняете свой закрытый ключ безопасным, для плохих парней почти невозможно пройти проверку подлинности как Вы с сервером.
Как другой комментатор уже указал, это не защищает Вас от использования 0 дней в самом sshd. Это всегда - хорошая идея ограничить трафик просто машинами, которые должны соединиться через правила брандмауэра.