ssh brute force ataklarını engelleme yolu

aslında brute force engellenemez bir saldırı taktiğidir. saldırgan kişi servisin üstünde bütün kullanıcı adı ve şifreleri dener. madem bunu engelleyemiyoruz ne yaparız ömür boyu sürmesini sağlarız 🙂 nasılmı basit. her 3 hatada bir saldırganı on dakika boyunca banlarım bu sayede 100 şifre denemesi 5 saat yapar benim şifremi bulması tahminen 345352345 yıl sürücektir bu sayede brute force atağı başarılıda olsa ben göremicem 😀

debianda bu işi yapmak çok kolay fail2ban sağolsun.
1. adım
apt-get install fail2ban

eğer logların yerlerini değiştirmediyseniz bu adımda işlem tamamdır. ama logun yeri farklı veya uyarı maillerini kendi gmailinize göndermek istiyorsanız
2.adım
nano /etc/fail2ban/jail.conf
yapın bi turlayın dosyada pathleri ve mailinizi ayarlayabilirsiniz. test ettim debianımda çalışıyor. aslında evde hiç böyle birşeye ihtiyaç olmadı ama serverloft daki bir serverımın logunda değişik iplerden login olamayıp tekrar denemeler gördüm bu ipleri araştırdım fransa rusya çin vardı en garibime giden direk aynı data center da olan bir başka makineden gelendi 🙂 komşu komşunun külüne muhtaçtır eskide kalmış demek 🙂

windows remote desktop rdp portu değiştirme

bende yaklaşık 1 senedir windows adminliği yapmama rağmen yeni öğrendim 🙂 e aga sen nasıl serverı koruosun brute force ataklarda falan derseniz paragraf kadar şifre giriom 😀

neyse klasiktir böyle sisteme ulaşılması muhtemel portları değiştirmek en azından klasik port scannerlardan ve brute force lardan sıyrılmamızı azcık sağlar. neyse gelelim muhabbete rdp portu normalde 3389 dur. windows un ssh diyebiliriz rdp yede. bu portu nasıl değiştiriyoruz.

  1. başlat –>> çalıştır
  2. regedit yaz entera bas
  3. ağaçtan bu yolu takip et HKEY_LOCAL_MACHINE > System > CurrentControlSet >Control > TerminalServer > WinStations > RDP-Tcp
  4. sağda PortNumber olucak ona çift tıkla hexadecimal ise decimal yap zaten görcen 3389 yazıo nal gibi 🙂
  5. 1025 ile 65535 arasında bir rakam ver. verdiğin rakam ilerde port numaran olucak ona göre unutma
  6. windows services den “Terminal Services” i restart edin. bunu yaptığınız anda windows 2008 den kopuyorsunuz haberiniz olsun.

bir daha aynı servera bağlanmak istediğinizde IPadresi:portnumarası şeklinde adres gireceksiniz artık direk 3389 a bağlanmanız sonucu not responding falan alırsınız. evdede bunu yapem ben birgün desktopum yine çalışırsa 🙂 hep 3389 açıp şirkette falan bazen evden bişeyleri downloada bırakıomdu eskiden peh ne günlerdi =)