目前好像有新的攻擊SSH密碼(brute force)的方法:用botnet。一般,有人會從某一台電腦連到你的主機,然後從一個辭典讀帳號跟密碼試在你的主機登入。當然,大部分的帳號根本不存在,所以系統會一直拒絕他。這時候你可以用像DenyHosts或fail2ban的軟體判定怎樣的登入失敗算攻擊,系統要怎麼反應。
我自己平常裝fail2ban在我管的主機,允許使用者(因為還有別人在用那些主機)兩次打錯帳號或密碼,第三次失敗之後從那個IP一段時間沒有辦法再登入。可惜,新的攻擊讓這個措施無效:新的攻擊會把辭典的資料分散到一個botnet所有的電腦,然後讓每一台電腦只測一個或兩個帳號的資料。這樣他們可以測很多帳號,但是都是從不同IP來的。
針對這個攻擊有效的防止方法好像只有兩種:最好的是用SSH key,不然就要把密碼條件設定到“比較安全”的水準:一定的長度,文字、數字、符號都要。你最好多一點觀查你的主機……
No comments:
Post a Comment