Solaris 11 sshd蛮力保护。Solaris 11的DenyHosts等效

Question

我经常尝试在x86 solaris 11.1服务器上强行执行ssh。在linux上，在多次不正确的登录尝试之后，我使用DenyHosts阻止连接。对于Solaris 11.1是否有类似的一揽子方案或关于防止ssh暴力的其他替代方法的任何建议？

Answer 1

吉恩建议的解决方案要求你知道谁将从哪里连接。如果这符合你的需要，那你就应该这样做。这很简单。无论什么，您都应该始终禁用SSH守护进程中的根登录。(在Solaris 11上，以根用户的身份从外部登录到框中是不可能的(因为root已经成为角色，而不是用户)，因此将该限制放入SSH守护进程的配置中并不能真正改变任何事情--但我还是建议这样做。

如果您已经熟悉DenyHosts，为什么不熟悉也可以在Solaris上使用.呢？

无论如何，另一个解决方案(对于Solaris)是详细的这里。它通过在后台保留一个“黑名单”来阻止野蛮的武力攻击。如果同一个IP在Y秒内发送X次连接尝试，则将其放到黑名单上，并且不允许该IP继续尝试。通常，您需要宵禁1小时，然后删除针对特定IP的此类黑名单。链接中的解决方案的好处是不需要任何额外的软件。它实际上只是一个脚本，可以在每次SSH连接尝试中执行，而在Solaris 11上，它是非常非侵入性的，因为您不需要更改任何系统设置、安装附加包或类似的东西。

Answer 2

在本例中，您可以在MaxStartups sshd_config中使用SunOS和LoginGraceTime。但是最好在使用Solaris sshd访问ipf之前就阻止这些尝试。

在这里，您可以找到非常经常更新的in列表来阻止：OpenBL --我很少在日志中看到尝试，只是使用这个黑名单。

然后，您可以组装cron作业脚本来更新FW规则，或者可以选择使用hosts.deny格式的文件。