Статья отличная, наконец-то провели какой-то комплексный анализ по данному направлению. На практике всё именно так и есть, дважды убедился
Начиная со списка наиболее употребимых логинов и заканчивая действиями злоумышленника
Всё в статье замечательно, спасибо переводчикам, но не хватает конкретных рекомендаций, опробованных, проверенных и реально работающих. Поэтому надеюсь на активность в теме и дельное обсуждение.
Использовать /etc/hosts.allow и /etc/hosts.deny файлы для ограничения доступа
Кривое решение.. Частые командировки сотрудников отдела и уже не подходит и для атакующей стороны смена IP-адреса не большая проблема
Установить файрволл для того чтобы ограничить доступ к SSH только для
определенных машин. Это особенно необходимо, если администратирование
производится удаленно
В туже топку.. Эти 2 рекомендации дублируют друг друга.
Ограничить доступ к SSH, ввести аутентификацию юзера или группы.
Без комментариев =)
Переместите SSH с 22 порта на любой другой не использованый.Это затруднить
обнаружение сервиса, так как большинство bruteforce для него предполагают,
что он находится на 22 порту.
Я не считаю это обязательным, да и эффект вряд ли будет. Сканирование изначально общедоступного сервера ещё труднее запретить или как-тол контролировать. Возможно, если баннер sshd ещё сменить, суммарно получится какой-то толк.
SSH также поддерживает ключи доступа. Их установка занимает не более нескольких
минут, подробнее можна прочитать в статье SSH Host Key Protection
и SSH and ssh-agent
В топку. Вечные флешки, дискеты.. А уехал, оставил случайно машину и настроенный PuTTy.. Потом смена.. А если сотрудник не одни имел доступ.. В общем, канитель ещё та.
Кто и как решает эту проблему?? Сюда же думаю логично отнести проблему перебора паролей и по другим службам, в частности FTP, POP3.
Сам вот смотрю в сторону sshguard. Пока что не ставил, но настройка там минимальная. Принцип простой.. Пять неудачных аутентификаций и несчастный юзер может курить 4 минуты.. Ещё пять неудачных аутентификаций... ну что поделать, не телепат.. теперь пусть пару часиков перекуривает. Думаю адекватно. Но опять-таки, это только SSH.