Linux防止ssh暴力破解常用方案

/ 技术 / 无站内评论 / 57浏览

前言

很久不管云服务器了,最近逛V2EX发现很多帖子讲到了服务器被暴力攻击,并且很多大佬也提供了很多实质性的解决方案,同时也意识到了自己对安全方面防范的欠缺,本文章主要讲个人服务器最简单几个方案(再难我也不会啊...)

环境

Centos7

是否被暴力破解?

last

用于显示用户最近登录信息,可以看到哪些用户在哪个时间访问登录了机器,同时查看ip是不是自己的常用地址

注意:last是显示成功登录的信息

lastb

用于列出登入系统失败的用户相关信息,通过查看访问时间间隔和相关账户分析是否正在暴力破解

这些用户在我服务器上一个都没有,同时访问很频繁有时候一分钟几次.ip很多都是境外ip,大概可以断定被暴力破解了.(心疼,服务器跑了几年)

tip:

-n 显示前指定行数

如何防范

大概分为以下几种,越靠前安全系数越高.

  1. 更改ssh默认端口
  2. 禁用root用户
  3. 安装fail2ban
  4. 限制安全组入站规则
  5. 开启firewalld防火墙并设置开启端口

更改ssh默认端口

 vim /etc/ssh/sshd_config 

修改Port

Port端口,建议改为高位端口

Linux端口1024以下是系统保留的,从1024-65535是用户使用的。

建议改为10000以上,暴力破解基本都是从低往高扫,越高越好.

禁用root用户

注意,禁用root用户之前要先添加一个普通用户

useradd xxx

passwd xxx

xxx为要添加的普通用户名,添加普通用户后记得设置密码,否则登录不上服务器就凉了兄弟

禁用root登录

 vim /etc/ssh/sshd_config 

修改以下配置

#LoginGraceTime 2m
PermitRootLogin no #禁止root
#StrictModes yes
MaxAuthTries 4 #登录失败重试次数
#MaxSessions 10

重启ssd服务

systemctl restart sshd

tip:

新开一个终端测试普通用户能正常登录再退出root用户,如果配置错误导致所有用户都登不上那凉了,切记!!!

安装fail2ban

sudo yum install fail2ban -y

配置

sudo vi /etc/fail2ban/jail.local
[DEFAULT]
# 以空格分隔的列表,可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御(白名单),设置自己常用ip免登不上
ignoreip = 127.0.0.1 #多个空格隔开

# 客户端主机被禁止的时长(秒)
bantime = 86400

# 客户端主机被禁止前允许失败的次数 
maxretry = 5

# 查找失败次数的时长(秒)
findtime = 600

mta = sendmail

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=youremail@qq.com, sender=fail2ban@email.com]
# Debian 系的发行版 
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数 
maxretry = 3

重启fail2ban

sudo systemctl restart fail2ban

为了验证fail2ban成功运行,使用参数’ping’来运行fail2ban-client 命令。 如果fail2ban服务正常运行,你可以看到“pong(嘭)”作为响应。

sudo fail2ban-client ping
Server replied: pong

参考资料:

如何使用-fail2ban-防御-ssh-服务器的暴力破解攻击

限制安全组入站规则

在云服务器厂商控制面板设置安全组开放端口,没用到的端口全部关掉,开放几个必要服务端口即可.

开启firewalld防火墙并设置开启端口

Centos7中firewalld为默认防火墙,设置服务用到的开放端口

服务常用命令

启动: systemctl start firewalld

查看状态: systemctl status firewalld

禁用: systemctl disable firewalld

禁止: systemctl stop firewalld

添加

firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,没有此参数重启后失效)

重新载入(添加,删除后要重新载入生效)

firewall-cmd --reload

查看是否生效

firewall-cmd --zone=public --query-port=80/tcp

删除

firewall-cmd --zone=public --remove-port=80/tcp --permanent

查看所有打开的端口

firewall-cmd --zone=public --list-ports

参考资料

CentOS7为firewalld添加开放端口及相关操作

琼ICP备18000156号

鄂公网安备 42011502000211号