Brute-force útoky představují jednu z nejčastějších hrozeb pro Linuxové servery. Tyto útoky spočívají v opakovaném pokusu o přihlášení s využitím různých kombinací uživatelských jmen a hesel s cílem získat neoprávněný přístup. Následující opatření mohou výrazně zvýšit bezpečnost serveru proti těmto útokům.
Použití silných hesel
Základem ochrany je používání silných hesel. Doporučuje se vytvářet hesla, která jsou dostatečně dlouhá (minimálně 12 znaků) a obsahují kombinaci velkých a malých písmen, čísel a speciálních znaků. Pro správu hesel lze využít nástroje jako je pwgen nebo apg.
Změna výchozího portu SSH
Standardní port pro SSH je 22. Změnou tohoto portu na méně obvyklý se snižuje riziko automaticky generovaných brute-force útoků. Změna portu se provádí v souboru /etc/ssh/sshd_config, kde je třeba upravit direktivu Port.
Použití autentizace pomocí veřejného a soukromého klíče
Autentizace pomocí klíčů je bezpečnější alternativou k tradičnímu přihlašování heslem. Veřejný klíč je uložen na serveru, zatímco soukromý klíč si uživatel uchovává v bezpečí. Autentizace probíhá bez nutnosti zadávání hesla, což výrazně ztěžuje útoky brute-force.
Omezení počtu pokusů o přihlášení
Nástroje jako fail2ban nebo DenyHosts monitorují logy pro neúspěšné pokusy o přihlášení a po dosažení určitého počtu neúspěšných pokusů z dané IP adresy dočasně zablokují další pokusy. Tím se efektivně minimalizuje riziko úspěšného brute-force útoku.
Vypnutí přihlašování pro root uživatele přes SSH
Přihlašování jako root přímo přes SSH by mělo být vypnuto. Toto nastavení lze změnit v souboru /etc/ssh/sshd_config změnou direktivy PermitRootLogin na no. Administrativní úkony by měly být prováděny prostřednictvím uživatele s menšími oprávněními, který může získat dočasná administrativní práva prostřednictvím příkazu sudo.
Implementace firewallu a Intrusion Detection System (IDS)
Firewall může omezit přístup k SSH portu pouze z důvěryhodných IP adres. IDS, jako je například Snort, může detekovat a reagovat na podezřelé aktivity, včetně pokusů o brute-force útoky.
Zabezpečení Linuxového serveru proti brute-force útokům vyžaduje komplexní přístup a pravidelnou údržbu. Implementací výše uvedených opatření výrazně snížíte riziko kompromitace vašeho serveru těmito metodami.
