Cách ngăn chặn tấn công brute force trong Linux

Tác giả server360, T.M.Một 21, 2013, 09:22:55 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách ngăn chặn tấn công brute force trong Linux


1. Giới thiệu.

Sở hữu một VPS thường đồng nghĩa với việc bị nhòm ngó bởi các phần mềm bất hợp pháp: các robot, autobot hay các mối nguy hại có khả năng tấn công VPS của bạn sẽ chẳng ngại ngần dò xét xem VPS của bạn có kẽ hở nào không.

Thông thường, khi bạn nhận được VPS, bạn sẽ có thông tin root account dạng root/password. Như vậy, bất kì ai có biết về VPS sẽ đều biết rằng truy cập VPS của bạn nên bắt đầu bằng account tên là "root". Đấy cũng là cơ chế tấn công Brute Force (Brute Force attack), hình thức tấn công dựa vào việc thử liên tục mật khẩu trên tài khoản đã biết.

Mô hình tấn công của nó sẽ thường có dạng.

  • Kết nối -> Tài khoản "root" -> Nhập mật khẩu lần 1 (ngẫu nhiên và có xác suất cao): 123456
  • Kết nối lần 2 -> Tài khoản "root" -> Nhập mật khẩu lại: admin123

Đại loại, nó sẽ dò xem khả năng trúng mật khẩu của bạn sẽ tới đâu. Chỉ sau khi cài đặt tường lửa để ngăn chặn, đã nhận được thông báo một IP từ Nhật sử dụng hình thức này tấn công tới 35 lần/ngày. Như vậy, tự dưng bạn là nạn nhân của một trò tấn công.

Chúng ta không bàn về việc bạn có một mật khẩu an toàn hay không, mà bàn về việc ngăn chặn triệt để hình thức tấn công kia. Bạn có thể thử cách phương án này. Đánh giá cao nếu bạn biết kết hợp nó để tăng mức bảo mật cho VPS của mình.

2. Thay đổi cổng SSH của VPS.

Mặc định, SSH Port sẽ bật ở cổng 22. Tấn công SSH sẽ đem lại cơ hội quá lớn chiếm quyền sở hữu VPS, nên chẳng ai (với ý đồ xấu) bỏ qua nó. Hãy thay đổi nó sang một cổng khác an toàn hơn.

Để thay đổi cổng SSH, bạn làm theo các bước sau.

Sửa file cấu hình SSH.

Mã nguồn [Chọn]
# vi edit /etc/ssh/sshd_config
Tìm dòng #Port 22 và bỏ dấu #, đổi nó thành Port xxx (xxx: cổng kết nối SSH Mới)

Nếu bạn muốn tìm hiểu về các cổng trong một mạng, thử tìm tại đây.

Nhớ là hãy sử dụng một cổng kết nối SSH mà không trùng lặp với các cổng thường sử dụng khác như 21 (FTP), 80 (HTTP), 3306 (MySQL).

Sau đó, lưu lại cấu hình. Khởi động lại để có hiệu lực. Bạn sẽ phải đăng nhập lại để có thể truy cập với cổng mới.

Mã nguồn [Chọn]
# service ssh restart
3. Cài addon Brute Force Detection.

Sau khi bạn đã có APF Firewall trong tay, cài đặt Brute Force Detection của R-FX Network là khá dễ dàng và khả thi. Hãy xem qua nó tại đây trước khi cài đặt. Về cơ bản, việc cài đặt nó không khác lắm so với cài APF Firewall.

Các bước cài đặt sẽ như sau đây.

Trở về thư mục / khi bạn đang ở trong thư mục nào đó.

Mã nguồn [Chọn]
# cd /root/
Tải nguồn cài đặt về

Mã nguồn [Chọn]
# wget http://www.rfxn.com/downloads/bfd-current.tar.gz
Giải nén nguồn cài đặt.

Mã nguồn [Chọn]
# tar -xvzf bfd-current.tar.gz
Bạn truy cập vào thư mục vừa giải nén.

Mã nguồn [Chọn]
# cd [tên thư mục vừa giải nén]
Chạy tập tin cài đặt.

Mã nguồn [Chọn]
# ./install.sh
Thông báo cài đặt xong sẽ như sau đây.

Mã nguồn [Chọn]
.: BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd

Sửa tập tin cấu hình.

Mã nguồn [Chọn]
# vi /usr/local/bfd/conf.bfd
Nếu bạn muốn thông báo tấn công gửi qua Email thì hãy đổi ALERT_USR="0″ thành ALERT_USR="1″ và đừng quên bổ sung địa chỉ Email của bạn như sau.

Mã nguồn [Chọn]
EMAIL_USR="root" thành EMAIL_USR="[email protected]"
Lưu lại tập tin cấu hình.

Đừng quên cấu hình cho BFD nhận diện bạn và bạn sẽ cần quan tâm tới 2 tập tin /usr/local/bfd/ignore.hosts /usr/local/bfd/allow_hosts.rules.

Cuối cùng, khởi động nó lên.

Mã nguồn [Chọn]
# /usr/local/sbin/bfd -s
Như vậy với việc cài đặt thêm một số công cụ ngăn chặn như BFD hay là đổi cổng SSH, nguy cơ bị xâm nhập hay quấy nhiễu và trở thành nạn nhân cho một cuộc tấn công đã giảm thiểu khá nhiều. Theo nghiên cứu của những nhà quản trị máy chủ, trung bình một địa chỉ IP sẽ phải tiếp không dưới 20 nguồn tấn công, và có những nguồn tấn công sử dụng tới 130 lần scan các cổng để xem bạn có lỗ hổng nào không.

Sẽ là không thừa nếu bạn gia cố cho VPS ngôi nhà ảo của bạn phải không nào?