SSH暴力破解防御

SSH暴力破解防御

image-20220515133458701

查看 /var/log/secure 日志文件可以看到文件中有很多认证失败的ip登录信息,这就说明已经被无数不同的IP地址和不同的用户进行SSH尝试连接了。

密码再复杂也顶不住这样暴力扫描啊,为预防万一,下面总结了几种防范方法:

lastb -a |awk '{print $NF}' |sort |uniq -c |sort -nr          #只统计IP
lastb -a |awk '{print $1 "\t" $NF}' |sort |uniq -c |sort -nr    #统计IP和用户名

禁止root登录

后期创建普通用户进行sudo提权

[[email protected] ~]$ vi /etc/ssh/sshd_config
---------------配置如下----------------
PermitRootLogin no
重启  
[[email protected] ~]$ service sshd restart

修改默认端口

[[email protected] ~]$  vi /etc/ssh/sshd_config
---------------配置如下----------------
Port 2280
重启SSH

[[email protected] ~]$ systemctl restart sshd
查看状态

[[email protected] ~]$ systemctl status sshd
查看端口是否更改

[[email protected] ~]$ netstat -ntlp | grep 2280
tcp    0   0 0.0.0.0:2280   0.0.0.0:*   LISTEN   8793/sshd          
tcp6   0   0 :::2280        :::*        LISTEN   8793/sshd

根据失败的ip次数做限制

当同一个IP地址超过5次的尝试,那么就加入/etc/hosts.deny

#! /bin/bash
# 提取所有的IP到black.list文件中
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list

# 设定次数
define="5"
for i in `cat  /usr/local/bin/black.list`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`

  if [ $NUM -gt $define]; then
    grep $IP /etc/hosts.deny > /dev/null
    if [ $? -gt 0 ];then
      echo "sshd:$IP:deny" >> /etc/hosts.deny
    fi
  fi
done

添加计划任务。

[[email protected] ~]$ crontab -e
# 每3分钟检查一次
*/3 * * * *  sh /usr/local/bin/secure_ssh.sh
重启 crontab
[[email protected] ~]$ systemctl restart crond
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇