Практически первый совет по защите удалённого доступа — сменить порт ssh
. Это, безусловно, полезно и позволяет отсечь основную массу брутфорса и в разы уменьшить количество мусора в логах. Но это эффективно только в отношении простых ботов и школьников. От индивидуального взлома этого мало, нужны и другие меры.
Скажем, смена порта может стать поводом для более пристального сканирования. Возможно, правильно было бы продемонстрировать злоумышленнику, что ssh
по-прежнему находится на порте 22. Для этой цели существует такая штука как Honeypot
(«горшочек с мёдом»), иначе говоря приманка. Приманки бывают разные, в том числе полностью эмулирующие поддельную виртуальную машину, но сейчас речь о ssh
.
Вот, например, Kippo, это honeypot
, эмулирующий поддельный ssh
на 22 порту. Он изображает полноценную файловую систему Debian
, создавая у атакующего иллюзию доступа к критическим файлам, например
cat /etc/passwd
Ведутся даже логи доступа в поддельном /var/log
для убедительности.
Кроме прочего, приманка может эффективно использоваться для сбора информации об атаках. Например, есть проект Kippo-Graph
для сбора и визуализации статистики от Kippo
.
Проект Kippo
давно не обновлялся, есть более свежий форк Cowrie.
Оригинал: VK.com