歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

linux防止ssh遠程暴力破解的方法和fail2ban軟件的配置應用

一、修改參數來使得暴力破解變得幾乎不可能   1.密碼設定要足夠復雜   密碼的設定,盡可能要有大寫字母、小寫字母、特殊符號和數字,長度至少要大於8,當然越長越好,只要能記住。   2.修改默認端口號   nmap工具可以探測服務器開放的遠程端口:# nmap 192.168.12.11 StartingNmap 5.51 ( http://nmap.org ) at 2015-10-27 21:32 CST Nmapscan report for 192.168.220.22 Hostis up (0.00017s latency). Notshown: 998 closed ports PORT    STATE SERVICE 22/tcp  open ssh 111/tcpopen  rpcbind MACAddress: 00:0C:29:9C:14:74 (VMware)   探測到22端口是開啟的,這樣就能用ssh來暴力破解root密碼了。   如果我們將22改為23,這樣顯示的結果變成下面: 23/tcp  open telnet   其實並不是telnet開啟,而是我們的sshd服務。這樣雖然給黑客設了一個類似陷阱的東西,但是因為能探測到,這樣也是不***全的。那麼我們就修改成一個非常不常用的端口號,如233,這樣nmap甚至是探測不到的,如此就起到了防護作用。   3.禁掉默認管理員   我們知道,默認的管理員是root,uid和gid都是0。我們的操作是將root用戶的uid和gid改成其他,shell改為/sbin/nologin或者/bin/false,將我們建立的一個用戶(如lius)的uid和gid改成0。操作方法是編輯/etc/passwd文件:#vim /etc/passwd root:x:22:22:root:/root:/sbin/nologin lius:x:0:0::/home/lius/:/bin/bash## 部分配置   我們知道lius的命名千奇百怪,我們可以隨意自定義,所以,這就使得暴力破解變得幾乎是不可能的事情了。   二、使用fail2ban實現破解次數限制   如果網站一直被別人暴力破解sshd服務密碼,即使不成功,也會導致系統負載很高;原因是在暴力破解的時候,系統會不斷地認證用戶,增加了系統資源開銷,導致訪問網站速度變慢。   fail2ban可以監視系統日志,然後匹配日志的錯誤信息(正則匹配),執行相應的屏蔽動作(一般情況下是防火牆),而且可以發送e-mail通知系統管理員,很實用、很強大!fail2ban的官網fail2ban.org,可獲取stable版本的下載鏈接,安裝fail2ban。 習慣的安裝目錄為/usr/local/src, cd到這個目錄,用wget獲得.gz格式文件。 #tar zxvf fail2ban-0.9.3.tar.gz #cd fail2ban-0.9.3 #python setup.py install # 源碼安裝的方法和以前不一樣,可以通過查看README.md來獲取安裝的步驟,python版本要在2.4以上,python-V可以查看版本。 #cd files #cp redhat-initd /etc/init.d/fail2ban # 復制和重命名 #chkconfig --add fail2ban # 開機啟動 #/etc/init.d/fail2ban start # 啟動服務 如此,fail2ban啟動成功,但是我們還沒配置fail2ban,下面是配置過程: fail2ban服務相關主要文件說明: /etc/fail2ban/action.d#動作文件夾,內含默認文件。iptables以及mail等動作配置 /etc/fail2ban/fail2ban.conf#定義了fai2ban日志級別、日志位置及sock文件位置 /etc/fail2ban/filter.d#條件文件夾,內含默認文件。過濾日志關鍵內容設置 /etc/fail2ban/jail.conf#主要配置文件,模塊化。主要設置啟用ban動作的服務及動作閥值   應用實例:設置ssh遠程登錄5分鐘內3次密碼驗證失敗,禁止用戶IP訪問主機1小時,1小時該限制自動解除,此IP可以重新登錄。 #vim /etc/fail2ban/jail.conf enabled= true filter= sshd action= iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH,[email protected], [email protected],sendername="Fail2Ban"] logpath= /var/log/secure findtime= 300 maxretry= 3 bantime= 3600   注釋: enabled= true # 是否激活此項(true/false)修改成true logpath= /var/log/secure # 檢測的系統的登陸日志文件,這裡要寫sshd服務日志文件的路徑 findtime= 300 # 在5分鐘內內出現規定次數就實施動作,默認時間單位:秒 maxretry= 3 # 密碼驗證失敗次數最大值為3,超過實施操作 bantime= 3600  # 超過3次後,禁止此用戶IP訪問主機1小時   發郵件的配置可以設定管理員的郵箱。如此配置結束,打開新終端,故意輸錯3次,再登錄時可以看到禁止訪問的提示:ssh: connect to host192.168.1.63 port 22: Connection refused
Copyright © Linux教程網 All Rights Reserved