Я как то писал, что защищал один проект от брутфорса SSH его ( SSH ) отключением. Вот эта статья Как отключить SSH на VDS с ISPManager . Как показало время это не самый лучший способ. В какой то момент сервер лег, апач не поднялся – панель не доступна, SSH отключен – пришлось просить поддержки у поддержки. Хорошо, что у RuWeb на редкость позитивный и быстрый саппорт. Но от греха решил таки вернуть SSH, но как его защитить, хотя бы от тупого взлома.
Простой способ нашелся сразу. Это поменять порт SSH. Понятно что если будут ломать сайт целеноправленно, то найти такой порт не сложно, но от бестолкового долбления ботов в 22 порт всё же избавит.
Итак меняем порт на котором слушает SSH
Тут есть нюанс. Оказывается ssh запускается/останавливается поразному. Об этом я писал в статье Как отключить SSH на VDS с ISPManager , и соответственно порты перенастраиваются в разных местах. Так как я в этих делах не профи возьму частности
1й вариант — смена порта SSH на VDS на FreeBSD 8 – идем в папку /etc/ssh , находим два файла
sshd_config – в нем раскоментируем ( уберем решетку ) перед словом Port, а после него пишем собственно номер порта. Цифра от фонаря, но нижние цифры обычно заняты. Вроде нормально брать любую цифру от 20000 до 60000. Кроме того рекомендуют убрать протокол Protocol 1 – оставить только Protocol 2. Вроде как Protocol 2 более безопасный.
Port 33333
Protocol 2
В файле ssh_config изменения абсолютно аналогичные.
2й вариант — смена порта SSH на VDS на FreeBSD 6 – ищем файлик /etc/services . В нём ищем строку
ssh 22/tcp #Secure Shell Login
ssh 22/udp #Secure Shell Login
и меняем её на что-то вроде
ssh 33333/tcp #Secure Shell Login
ssh 33333/udp #Secure Shell Login
Включаем SSH если его отключали, отключаем FTP, перегружаем сервер ( ну или службу ) и радуемся чистым логам.
Kasumiru 2013-07-01