ユーザーrootによるsshログイン用のiptablesを含むパケットをドロップします
SSHデーモンがログイン試行を拒否するサイクルを無駄にする必要がないように、iptablesにユーザー「root」のパケットをドロップさせることは可能ですか?
Ssh_configでのrootログインの試行をすでに拒否しています。しかし、それでも試行を拒否してログに記録するためのリソースが必要になります。デーモンに送信される前に、ファイアウォール(別名iptables)でパケットをドロップしたいと思います。
それで、ユーザーに基づいてパケットをドロップすることは可能ですか?
IPアドレスを禁止するfail2banのようなソリューションの使用は避けたいです。 IPアドレスを禁止したくありません。
接続が確立されて暗号化されるまでログインデータが送信されないため、SSHプロトコルRFCに記載されているようにこれは不可能です。したがって、ファイアウォールがログイン名を認識することはありません。したがって、ファイアウォールは、見えないものに基づいてパケットをドロップすることはできません。
サービス拒否はSSHプロトコルの既知の脆弱性であり、別の方法で軽減する必要があります。