خطوات عمليّة للتّصدّي لهجمات كسر كلمات مرور SSH

هجمات ssh عادت من جديد وبقوة اذا كانت كلمة المرور الخاص بحساب الSSH خاصّتك 8 أحرف فقط فحسابك إمّا قد تم اختراقه من خلال معرفة الكلمة أو هو في طريقه إلى ذلك. وذلك بغض للنظر عن النظام أو قطعة العتاد الذي تستخدمه.

الإجراءات التي يمكنك اتخاذها من أجل الحماية هي:

1- حددّ العناوين التي يمكنها الاتصال بخدمة ssh فمن لايستطيع الوصول إلى ssh لن يستطيع كسر كلمة مروره

2- قم دائماً وأبداً بعمليات مسح للتأكد من سلامة السياسات عموماً والخاص ب ssh على وجه الخصوص

3- اعد تهيئة ssh لديك لاستخدام مفاتيح محمية بكلمة مرور ولا تسمح لكلمات مرور فقط
أنشأ مفتاح جديد
$ ssh-keygen -t rsa
سيطلب منك ادخال pssphrase قم بإدخاله
هذا سينشأ ملفان داخل مجلدك ~./ssh
id_rsa هو الخاص
id_rsa هو العام

انسخ الفتاح العام على الخادم الذي تريد الاتصال به باستخدام المفتاح وقم بإضافته للملف المفاتيح المصرّح لها
$ cat id_rsa.pub >> ~/.ssh/authorized_keys

الآن غيّر التصاريح كالآتي:
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys

4- استخدم اسماء مستخدمين صعبة وغير معروفة فاسماء المستخدمين العادية او التي يمكن توقعها تستخدم بكثرة. ولكن اسم كهذا m7acc0nt%$ d يصعب معرفته وبالتالي نصعب عملية كسر كلمة مروره.

5- غير موقع المنفذ الخاص بSSH لديك من 22 إلى شيء آخر هذه قد لا تفيد كثيراً في حالة الهجوم الموجه ولكن في حالة كون الهجوم تقوم به botnet فهذا هو المنفذ المستخدم في الهجوم في الغالب
# Run ssh on a non-standard port:
Port 7788 #Change me

الآن عند اتصالك بالخادم ستقوم بذلك كالآتي:
ssh -p7788 mtafran.com

6- استخدم برنامج ولكن قم بتخصيصه بشكل مشدّد فهو سوف يساعد بشكل كبير واقول هذا من تجربة فعلية ولكن ضع في الحسبان ان الهجمات القادمة من botnet اذا كانت هذه ال bitnet كبيرة مثلاً 10000 او 100000 او أكثر فستكون فعاليته اقل. مثلاً برنامج fail2ban

7- راقب السجلات هذا سيعطيك نظرة على الهجمات القادمة وكذلك يعتبر وسيلة بين فترة والأخرى للتأكد من برامج مثل fail2ban من انها تعمل

مرجع

http://isc.sans.org/diary.html?storyid=6214