1.利用sshd服务本身防止暴力破解
2.sshd服务防止暴力破解和fail2ban使用方法
先说说一般的防范措施:
方法1:
1、密码足够复杂:
密码的长度要大于8位最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字母和特殊符号混合组成。 3/4 0-9 a-z A-Z @!#%*
方法2:修改默认端口号 sshd 默认端口号: 22
[root@DaMoWang ~]# nmap 192.168.94.100 Starting Nmap 6.40 ( http://nmap.org ) at 2018-07-21 13:41 CST
Nmap scan report for localhost (192.168.94.100)
Host is up (.0000030s latency).
Not shown: closed ports
PORT STATE SERVICE
/tcp open ssh
/tcp open domain
/tcp open mysql Nmap done: IP address ( host up) scanned in 0.17 seconds
#为了避免被扫描到22端口 修改配置文件的默认端口
[root@DaMoWang ~]# vim /etc/ssh/sshd_config
#修改 #Port 注释去掉并修改端口号 比如改成2222
[root@DaMoWang ~]# systemctl restart sshd
再次扫描端口
[root@DaMoWang ~]# nmap 192.168.94.100 Starting Nmap 6.40 ( http://nmap.org ) at 2018-07-21 14:09 CST
Nmap scan report for localhost (192.168.94.100)
Host is up (.0000050s latency).
Not shown: closed ports
PORT STATE SERVICE
/tcp open domain
/tcp open EtherNet/IP-1 #原本是22端口的ssh 变成了现在的2222端口
/tcp open mysql Nmap done: IP address ( host up) scanned in 0.06 seconds
测试
[root@ceshi ~]# ssh root@192.168.94.100
ssh: connect to host 192.168.94.100 port : Connection refused
[root@ceshi ~]# ssh root@192.168.94.100 -p
root@192.168.94.100's password:
Last login: Sat Jul :: from 192.168.94.1
192.168.94.100
[root@DaMoWang ~]# ip a
: lo: <LOOPBACK,UP,LOWER_UP> mtu qdisc noqueue state UNKNOWN group default qlen
link/loopback ::::: brd :::::
inet 127.0.0.1/ scope host lo
valid_lft forever preferred_lft forever
inet6 ::/ scope host
valid_lft forever preferred_lft forever
: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu qdisc pfifo_fast state UP group default qlen
link/ether :0c::c8:e2:0d brd ff:ff:ff:ff:ff:ff
inet 192.168.94.100/ brd 192.168.94.255 scope global noprefixroute dynamic ens33
valid_lft 15118sec preferred_lft 15118sec
inet6 fe80::::438c:7db4/ scope link noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::a1f6:1d30:fbb2:f090/ scope link tentative noprefixroute dadfailed
valid_lft forever preferred_lft forever
[root@DaMoWang ~]# exit
登出
Connection to 192.168.94.100 closed.
# 改端口号的目的是为了,避免扫描
不使用root用户名登录,这样黑客猜不到你的用户名。也就无从暴力破解
不使用用户名为root的帐号登录系统,但是要获得root超级管理员权限怎么办?
判断一个用户是不是超级管理员,看的是用户的ID是否为0
创建一个普通帐号,然后变成超级管理权限
[root@DaMoWang ~]# useradd damowang
[root@DaMoWang ~]# echo |passwd --stdin damowang
更改用户 damowang 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@DaMoWang ~]# vim /etc/passwd
root:x:::root:/root:/bin/bash
root:x:::root:/sbin/nologin #不让root登录系统
damowang:x::::/home/damowang:/bin/bash
damowang:x::::/home/damowang:/bin/bash #修改完UID后这个普通用户就有超级管理员的权限,即时生效
测试
[root@ceshi ~]# ssh damowang@192.168.94.100 -p
damowang@192.168.94.100's password:
Last login: Sat Jul :: from 192.168.94.29
[root@DaMoWang ~]# id damowang
uid=(root) gid=(root) 组=(root)
[root@DaMoWang ~]# whoami #查看当前登录系统的用户名
root
总结:以下三种方法:
1、密码足够复杂
2、修改默认端口号
3、不使用root用户名登录
一般情况这个就可以解决了暴力破解的问题了
公司网站一直被别人暴力破解sshd服务密码。虽然没有成功,但会导致系统负载很高,原因是在暴力破解的时候,系统会不断地认证用户,从而增加了系统资源额外开销,导致访问公司网站速度很慢
客户体验非常不好,对经济造成危害
技术源于生活,你的银行卡 输错3次密码 , 结果会怎么样???
卡会锁24个小时。。。
我们使用fail2ban也可以实现锁IP
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员!
下载软件包:
官方地址:
下载fail2ban
[root@ceshi ~]# tar xf fail2ban-0.8.14.tar.gz -C /usr/src/
[root@ceshi ~]# cd /usr/src/fail2ban-0.8.14/
[root@ceshi fail2ban-0.8.14]# less README.md
查看使用方法
[root@ceshi fail2ban-0.10]# python -V
Python 2.7.
[root@ceshi fail2ban-0.10]# python setup.py install
[root@ceshi fail2ban-0.10]# echo $?
0
# 这样就安装完fail2ban
设置条件:ssh远程登录5分钟内3次密码验证失败,禁止用户IP访问主机1小时,1小时该限制自动解除,此IP可以重新登录
下面是策略
[root@ceshi fail2ban-0.8.]# vim /etc/fail2ban/jail.conf
# 修改或添加标记处内容
enabled = true #是否激活此项(true/false)修改成 true
logpath = /var/log/secure #检测的系统的登陆日志文件。这里要写sshd服务日志文件。
#完成:5分钟内3次密码验证失败,禁止用户IP访问主机1小时。 配置如下
findtime = 300 #在5分钟内内出现规定次数就开始工作,默认时间单位:秒
maxretry = 3 #3次密码验证失败
bantime = 3600 #禁止用户IP访问主机1小时
# 在安装路径下 启动服务
[root@ceshi fail2ban-0.8.]# files/redhat-initd start
[root@ceshi fail2ban-0.8.]# files/redhat-initd start
Starting fail2ban: [ 确定 ]
测试
#输入正确的密码可以正常登陆
[root@ceshi ~]# ssh root@192.168.94.29
root@192.168.94.29's password:
Last login: Sat Jul :: from 192.168.94.100
[root@DaMoWang ~]# #输入三次错误密码
[root@ceshi ~]# ssh root@192.168.94.29
root@192.168.94.29's password:
Permission denied, please try again.
root@192.168.94.29's password:
Permission denied, please try again.
root@192.168.94.29's password:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
[root@ceshi ~]# ssh root@192.168.94.29
ssh: connect to host 192.168.94.29 port : Connection refused
查看哪台机器在暴力破解你的服务器
查看fail2ban服务运行状态:
[root@DaMoWang fail2ban-0.8.]# fail2ban-client status
Status
|- Number of jail:
`- Jail list: ssh-iptables
具体看某一项的状态也可以看,如果显示被ban的ip和数目就表示成功了,如果都是0,说明没有成功
[root@DaMoWang fail2ban-0.8.]# fail2ban-client status ssh-iptables
Status for the jail: ssh-iptables
|- filter
| |- File list: /var/log/secure
| |- Currently failed:
| `- Total failed:
`- action
|- Currently banned:
| `- IP list: 192.168.94.100 #拦截192.168.94.100成功
`- Total banned: