FAQs - ssh

Le FAQ di GARR CERT


Ho notato numerosi tentativi illeciti di connessioni ssh sui miei sistemi, quali difese posso attuare?

SSH brute-force attack

:: Descrizione

L'attacco brute-force ssh e' un'attivita' illecita praticata da anni in maniera sistematica. Vi sono periodi di diversa intensita', il trend e' comunque in crescita. La miglior difesa resta la scelta di password complesse. Questo tipo di attacco puo' colpire anche sistemi diversi da host linux, come router o iMac.

:: Scopo

Ottenere un accesso al sistema.

:: Azioni di contrasto

  • Eseguire un censimento preventivo dei server ssh tramite scansioni sulla propria rete;
  • Controllare periodicamente i log;
  • Educare gli utenti alla scelta di password complesse;
  • Usare nomi utente difficili da indovinare;
  • Disabilitare l'accesso via SSH per l'account root (e' il target del 25% degli attacchi);
  • Disabilitare l'autenticazione basata su password e attivare quella basata su coppie di chiavi;
  • Consentire l'accesso (con filtri basati su IP address) ai soli sistemi di fiducia;
  • Cambiare la porta associata di default al server SSH (22/tcp);
  • Utilizzare TCP Wrapper o iptable per bloccare gli indirizzi IP a seguito di ripetuti tentativi di accesso falliti e/o tool come BlockHosts, DenyHosts, fail2ban.

Nel caso l'attacco venga rilevato mentre e' in corso consigliamo di filtrare l'IP sorgente (sul router di bordo o sull'host vittima) in attesa che l'abuso termini.