13/03/06: 使用 knockd 來防止別人狂試 ssh
先前為了想檔暴力試 ssh 的狀況,在 SA 上找到了一些資料參考。
1. http://phorum.study-area.org/viewtopic.php?t=33194
2. http://phorum.study-area.org/viewtopic.php?t=30083&highlight=
兩個方式都不錯,我稍微修改了一下,算是把兩種方式做一點小結合。不過對我來說,會 ssh 到我這台電腦的人不多,就小貓兩三隻,所以,以上兩種方式是 ssh 一直開著,等到發現有人在試密碼時再將他擋掉。
可是我懶,當 IP 抓下來後,我還是得手動加到 bad IP list 裡,這樣子我每次執行 iptables 的 script 時,那些 banned IPs 才會一直被 ban。
另外一個原因是,我的電腦老舊,這 banned IP list 越來越長,越來越長,執行一個 iptables 的 scripy 竟要 20~30 秒。想想這樣下去也不是辦法。
所以換個角度來想,換個方式來作。
ssh port 一直都保持關閉,這樣就不用擔心會被狂試密碼。等到我要連進來的時候把我的 IP 加到允許連入 ssh 就好了。
1. http://phorum.study-area.org/viewtopic.php?t=33194
2. http://phorum.study-area.org/viewtopic.php?t=30083&highlight=
兩個方式都不錯,我稍微修改了一下,算是把兩種方式做一點小結合。不過對我來說,會 ssh 到我這台電腦的人不多,就小貓兩三隻,所以,以上兩種方式是 ssh 一直開著,等到發現有人在試密碼時再將他擋掉。
可是我懶,當 IP 抓下來後,我還是得手動加到 bad IP list 裡,這樣子我每次執行 iptables 的 script 時,那些 banned IPs 才會一直被 ban。
另外一個原因是,我的電腦老舊,這 banned IP list 越來越長,越來越長,執行一個 iptables 的 scripy 竟要 20~30 秒。想想這樣下去也不是辦法。
所以換個角度來想,換個方式來作。
ssh port 一直都保持關閉,這樣就不用擔心會被狂試密碼。等到我要連進來的時候把我的 IP 加到允許連入 ssh 就好了。