Running ssh on multiports and Secure

[sysadm]

Running ssh on multiports and Basic secure

(RedHat/ Suse / e.t.c)

เป็นที่รู้กันว่า ssh (Secure Shell) port 22 แน่นนอนว่าผู้ไม่หวังดิ ก็จะทราบเช่นเดียวกัน
หากท่าน monitor /var/log/secure  แล้วพบแบบด้านล่าง ให้คิดไว้เลยว่าโดนเล่นแล้ว แต่ยังพอ ใจเย็นได้ว่ายังไม่สำเหร็จเราต้องเริ่มป้องกัน

Apr 5 18:10:02 testguest sshd[1222]: Failed password for invalid user barbara from ::ffff:218.54.172.190 port 2583 ssh2
Apr 5 18:10:06 testguest sshd[1224]: Invalid user adine from ::ffff:218.54.XXX.190
Apr 5 18:10:08 testguest sshd[1224]: Failed password for invalid user adine from ::ffff:218.54.172.190 port 2720 ssh2
Apr 5 18:10:11 testguest sshd[1226]: Invalid user test from ::ffff:218.54.XXX.190
Apr 5 18:10:08 testguest sshd[1224]: Failed password for invalid user adm from ::ffff:218.54.172.190 port 2720 ssh2
Apr 5 18:10:11 testguest sshd[1226]: Invalid user test from ::ffff:218.54.XXX.190
Apr 5 18:10:08 testguest sshd[1224]: Failed password for invalid user administrator from ::ffff:218.54.172.190 port 2720 ssh2
Apr 5 18:10:11 testguest sshd[1226]: Invalid user test from ::ffff:218.54.XXX.190

จาก log เห็นว่า มีการ  brute force  หรือ พยายามซุ่ม user/ passwd ตาม Dictionary crackers ที่มีอยู่แต่ละคน
มากน้อยต่างกัน user/passwd ที่ง่ายๆ นิยมมากๆ อย่าง password, p@ssw0rd, password123 โดนแน่นอน


ผมขอแนะนำ วิธีง่ายๆ 2 วิธีแล้วกันครับอาจป้องกันได้ไม่ 100 % แต่ก็ลดความเสี่ยงลงกัน

วิธีที่ 1 เปลี่ยน/เพิ่ม port

#vim /etc/rc.d/init.d/sshd

หลัง initial comments เพิ่ม

OPTIONS="$OPTIONS -p 22 -p 5000"  เป็นการเพิ่ม port 5000 ให้กับ service ssh หากเราต้องการ port ใดๆ ก็เพิ่ม หรือ ลดได้ครับ

#/etc/init.d/sshd restart ทำการ restart service

#ssh -p 5000 username@ip,domain ทำการทดสอบ


วิธีที่ 2 Deny by source IP (TCP Wrappers)

วิธีนี้ เหมาะกับ network ที่มี ip ที่เราเชื่อถือได้ ที่เป็น IP static

#vim /etc/hosts.deny
sshd : ALL EXCEPT 192.168.x.x ;หมายความว่า Deny ทั้งหมดยกเว้น 192.168.x.x หรือ 192.168.x.x/24 ก็ได้


The End. by sysadm