标签:linux ssh sshd fail2ban 防 暴力破解
一、修改参数来使得暴力破解变得几乎不可能
1.密码设定要足够复杂
密码的设定,尽可能要有大写字母、小写字母、特殊符号和数字,长度至少要大于8,当然越长越好,只要能记住。
2.修改默认端口号
修改sshd服务的默认端口号,可以进一步防止黑客的恶意攻击。首先介绍一个工具:nmap;nmap可以探测某个服务器的远程端口号开放列表;
#nmap 192.168.1.163
StartingNmap 5.51 ( http://nmap.org ) at 2015-11-10 14:43 CST
Nmapscan report for xuegod163.cn (192.168.1.163)
Hostis up (0.0000060s latency).
Notshown: 998 closed ports
PORTSTATE SERVICE
22/tcpopen rsh-spx
111/tcpopen rpcbind
默认的sshd的端口是22,如果不修改,那么这层防护就荡然无存了。修改方法:#vim /etc/ssh/sshd_config
搜索port 22,修改22为一个能记住的其他端口号,保存退出,重启sshd服务。如此用nmap探测服务器的时候,显示的远程服务名称也变得不明朗,进一步增加了黑客的破解难度。但是,开放的端口号一共就那几个,挨个试也是可行的,下面就介绍大招。
3.禁掉默认管理员
我们知道,默认的管理员是root,uid和gid都是0。我们的操作是将root用户的uid和gid改成其他,shell改为/sbin/nologin或者/bin/false,将我们建立的一个用户(如lius)的uid和gid改成0。操作方法是编辑/etc/passwd文件:#vim /etc/passwd
root:x:22:22:root:/root:/sbin/nologin
lius:x:0:0::/home/lius/:/bin/bash## 部分配置
我们知道lius的命名千奇百怪,我们可以随意自定义,所以,这就使得暴力破解变得几乎是不可能的事情了。
二、使用fail2ban实现破解次数限制
如果网站一直被别人暴力破解sshd服务密码,及时不成功,也会导致系统负载很高;原因是在暴力破解的时候,系统会不断地认证用户,增加了系统资源开销,导致访问网站速度变慢。
fail2ban可以监视系统日志,然后匹配日志的错误信息(正则匹配),执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,很实用、很强大!fail2ban的官网fail2ban.org,可获取stable版本的下载链接,安装fail2ban。
习惯的安装目录为/usr/local/src, cd到这个目录,用wget获得.gz格式文件。
#tar zxvf fail2ban-0.9.3.tar.gz
#cd fail2ban-0.9.3
#python setup.py install # 源码安装的方法和以前不一样,可以通过查看README.md来获取安装的步骤,python版本要在2.4以上,python-V可以查看版本。
#cd files
#cp redhat-initd /etc/init.d/fail2ban # 复制和重命名
#chkconfig --add fail2ban # 开机启动
#/etc/init.d/fail2ban start # 启动服务
如此,fail2ban启动成功,但是我们还没配置fail2ban,下面是配置过程:
fail2ban服务相关主要文件说明:
/etc/fail2ban/action.d#动作文件夹,内含默认文件。iptables以及mail等动作配置
/etc/fail2ban/fail2ban.conf#定义了fai2ban日志级别、日志位置及sock文件位置
/etc/fail2ban/filter.d#条件文件夹,内含默认文件。过滤日志关键内容设置
/etc/fail2ban/jail.conf#主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值
应用实例:设置ssh远程登录5分钟内3次密码验证失败,禁止用户IP访问主机1小时,1小时该限制自动解除,此IP可以重新登录。
#vim /etc/fail2ban/jail.conf
enabled= true
filter= sshd
action= iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH,dest=you@example.com, sender=fail2ban@example.com,sendername="Fail2Ban"]
logpath= /var/log/secure
findtime= 300
maxretry= 3
bantime= 3600
注释:
enabled= true # 是否激活此项(true/false)修改成true
logpath= /var/log/secure # 检测的系统的登陆日志文件,这里要写sshd服务日志文件的路径
findtime= 300 # 在5分钟内内出现规定次数就实施动作,默认时间单位:秒
maxretry= 3 # 密码验证失败次数最大值为3,超过实施操作
bantime= 3600 # 超过3次后,禁止此用户IP访问主机1小时
发邮件的配置可以设定管理员的邮箱。如此配置结束,打开新终端,故意输错3次,再登录时可以看到禁止访问的提示:ssh: connect to host192.168.1.63 port 22: Connection refused
本文出自 “Liemer_Lius的博客” 博客,请务必保留此出处http://liemerlius.blog.51cto.com/10409683/1711917
linux防止ssh远程暴力破解的方法和fail2ban软件的配置应用
标签:linux ssh sshd fail2ban 防 暴力破解
原文地址:http://liemerlius.blog.51cto.com/10409683/1711917
