Protegendo o servidor SSH de ataque "brute force"

Caros,

Após uma temporada ausente, voltei com a publicação de uma dica neste excelente site. Mas vou deixar de enrolação e vou direto ao ponto.

Quem nunca quis tornar e/ou ao menos tentar fazer um ambiente seguro. Nesta dica irei abordar o tão comentado iptables recent module.

A dica abaixo aplica-se em em proteger um ambiente no caso de ataque (brute force) na porta 22 (SSH).

Minhas variáveis:

• eth0 = rede interna
• 22 = porta ssh
• varrerssh = nome da tabela que criei
• hitcount = número de entradas que vão ser verificadas
• varrersshconnect = prefixo da entrada que vai ser adicionada ao arquivo de log

1. O módulo recent deve estar compilado (não explicarei aqui como compilar, pois trata-se de uma dica e não de um artigo... espero que compreendam). No final seguem as fontes de consulta.

2. iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set --name varrerssh -j RETURN

3. iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --name varrerssh --rchek --seconds 90 --hitcount 2 -j LOG --log-prefix "varrersshconnect: "

4. iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --name varrerssh --rcheck --seconds 90 --hitcount 2 -j DROP

Isso vai permitir uma conexão ssh no período de 1 minuto e 30 segundos por origem.

Às vezes é melhor alterar a porta padrão de alguns serviços.

Fontes:

• http://www.ducea.com/
• http://snowman.net/
• http://www.netfilter.org
• http://www.linux.org/

Espero ter ajudado.

Abraços!