歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux服務器

linux服務器如何防范ssh嘗試攻擊

最近一直關注Linux服務器的的/var/log/secure文件,發現裡面有大量的ssh失敗嘗試記錄,如下

linux服務器如何防范ssh嘗試攻擊(圖一) 

  查看了該IP的嘗試次數和時間,一直從凌晨4點到下午1點

linux服務器如何防范ssh嘗試攻擊(圖二) 

linux服務器如何防范ssh嘗試攻擊(圖三) 

  多達9288次的掃描,從圖中可以看出正在嘗試各種用戶名來連接,真他媽的沒事干,也不知道用什麼破軟件在那裡無聊,幸好我的密碼也夠復雜,要不然嘿嘿..........

  我服務器上的secure有多個,按時間進行截取的,我對其中的secure.1文件進行統計。

  獲取其中的ip地址和數量:

  # grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq -c

  如此之多,讓我不禁冒出冷汗,真嚇人,也不知道我的服務器上面有什麼好東西,那麼喜歡,真二!!!!當然如果是自己通過ssh成功連接,記錄也會在這裡面。

  為了防止此類無聊之人再次光臨,就得想辦法不讓他們進行掃描,本人在網上查找資料,得知Denyhosts軟件可以達到該效果,DenyHosts是Python語言寫的一個程序,它會分析sshd的日志文件(/var/log/secure),當發現重復的攻擊時就會記錄IP到/etc/hosts.deny文件,從而達到自動屏IP的功能。如果是手動添加的話不把人累死才怪。

  DenyHosts官方網站為:http://denyhosts.sourceforge.net

  本文已附上附件,是從該網站下載的,版本為較新的2.6版。

  一:檢查安裝要求

  首選檢查Sshd是否支持 Tcpwrap,只有支持Tcpwrap才可以安裝Denyhost

  # ldd /usr/sbin/sshd |grep wrap

  libwrap.so.0 => /usr/lib/libwrap.so.0 (0x00864000) //出現此信息時表示支持

  再檢查 Python的版本,Python2.3以上版本可以直接安裝

  # python -V

  Python 2.4.3

  均達到要求

  二:安裝Denyhosts

  先下載該軟件,然後解壓安裝

  進行解壓再進入到源目錄

  # tar -xzvf  DenyHosts-2.6.tar.gz

  # cd  DenyHosts-2.6

  執行Python腳本進行安裝,

  # python  setup.py  install

  程序腳本自動安裝到/usr/share /denyhosts

  庫文件自動安裝到/usr/lib/python2.4/site-packages /DenyHosts

  denyhosts.py安裝到/usr/bin

  三: 設置啟動腳本

  # cd  /usr/share/denyhosts/

  拷貝模板文件

  # cp daemon-control-dist daemon-control

  設置好啟動腳本的所屬用戶和權限

  # chown  root  daemon-control

  # chmod  700  daemon-control

  生成Denyhost的主配置文件,(將模板文件中開頭是#的過濾後再導入到Denyhost.cfg)

  # grep  -v  "^#"  denyhosts.cfg-dist  > denyhosts.cfg

  編輯Denyhost.cfg文件,根據自己需要進行相應的修改

  ----------------denyhosts.cfg--------------------------------------

  SECURE_LOG = /var/log/secure   #ssh 日志文件,它是根據這個文件來判斷的,如還有其他的只要更改名字即可,例如將secure改為secure.1等

  HOSTS_DENY = /etc/hosts.deny

  #控制用戶登陸的文件,將多次連接失敗的IP添加到此文件,達到屏蔽的作用

  PURGE_DENY =

  #過多久後清除已經禁止的,我這裡為空表示永遠不解禁

  BLOCK_SERVICE  = sshd

  #禁止的服務名,如還要添加其他服務,只需添加逗號跟上相應的服務即可

  DENY_THRESHOLD_INVALID = 1

  #允許無效用戶失敗的次數

  DENY_THRESHOLD_VALID = 2

  #允許有效用戶登錄失敗的次數

  DENY_THRESHOLD_ROOT = 3

  #允許root登錄失敗的次數

  HOSTNAME_LOOK

UP=NO

  # 是否做域名反解,這裡表示不做

  ADMIN_EMAIL = 。。。。

  #管理員郵件地址,它會給管理員發郵件

  DAEMON_LOG = /var/log/denyhosts

  #自己的日志文件

  其他:

  AGE_RESET_VALID=5d     #(h表示小時,d表示天,m表示月,w表示周,y表示年)

  AGE_RESET_ROOT=25d

  AGE_RESET_RESTRICTED=25d

  AGE_RESET_INVALID=10d

  #用戶的登陸失敗計數會在多長時間後重置為0

  RESET_ON_SUCCESS = yes

  #如果一個ip登陸成功後,失敗的登陸計數是否重置為0

  DAEMON_SLEEP = 30s

  #當以後台方式運行時,每讀一次日志文件的時間間隔。

  DAEMON_PURGE = 1h

  #當以後台方式運行時,清除機制在 HOSTS_DENY 中終止舊條目的時間間隔,這個會影響PURGE_DENY的間隔。

  將 Denyhost啟動腳本添加到自動啟動中

  # echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.d/rc.local

  啟動Denyhost的進程

  # /usr/share/denyhosts/daemon-control start

  可以查看到Denyhost在運行中

  # ps -ef |grep deny

  在另外一台機器上使用ssh進行連接,當在連續幾次輸入錯誤的密碼後,會被自動阻止掉,在一定時內不可以再連接ssh連接記錄的日志文件。

  查看我的/etc/hosts.deny文件發現裡面已經有135條記錄。

  # cat /etc/hosts.deny | wc -l

  135

Copyright © Linux教程網 All Rights Reserved