1、密码足够复杂:
密码的长度要大于8位最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字母和特殊符号混合组成。
2、修改默认端口号
3、不使用root用户名登录
是否可以禁止root身份登录?不行,因为有些程序需要使用root身份登录并运行。
另外判断一个用户是不是超级管理员,看的是用户的ID是否为0。
[root@kaixincainiao~]# useradd test
改:test:x:500:500::/home/mk:/bin/bash
为:test:x:0:0::/home/mk:/bin/bash
[root@~]# vim /etc/passwd
改:root:x:0:0:root:/root:/bin/bash
为:root:x:0:0:root:/sbin/nologin
另外,改下面内容后,mk用户也是登录不上的。只判断UID是否为0,不查看用户名的:
[root@kaixincainiao Packages]# vim/etc/ssh/sshd_config
改:
#PermitRootLogin yes
为:
PermitRootLogin no
[root@kaixincainiao ~]# service sshd restart
测试:
[root@kaixincainiao Packages]# sshmk@192.168.1.63
test@192.168.1.63's password:
Permission denied,please try again.
一般情况这个就可以解决了暴力破解的问题了。
情况2:暴力破解问题比较严重。 需要把暴力破解的用的IP地址直接禁掉
[root@kaixincainiao log]#lastb
mkssh:nottykaixincainiao.cnTue Mar3 20:43 - 20:43(00:00)
roottty1Tue Dec 18 09:45 -09:45(00:00)
[root@kaixincainiao log]#ll -h /var/log/btmp
-rw-------. 1 rootutmp 76M Mar3 20:43 /var/log/btmp
案列:
最近公网网站一直被别人暴力破解sshd服务密码。虽然没有成功,但会导致系统负载很高,原因是在暴力破解的时候,系统会不断地认证用户,从而增加了系统资源额外开销,导致访问公司网站速度很慢。
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,很好、很实用、很强大!
简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志,将满足动作的相关IP利用iptables加入到dorp列表一定时间。
下载软件包:
官方地址:
http://www.fail2ban.org/wiki/index.php/Downloads
安装:
解压查看readme文件
[root@kaixincainiao ~]# tar-zxvf fail2ban-0.8.14.tar.gz
[root@kaixincainiao fail2ban-0.8.14]# vimREADME.md#查看以下内容
需要安装python开发环境,并且版本要大于2.4
查看当前系统中python的版本:
[root@kaixincainiaofail2ban-0.8.14]# python -V
Python 2.6.6
安装:
[root@kaixincainiao ~]# cdfail2ban-0.8.14
[root@kaixincainiaofail2ban-0.8.14]#python setup.py install
生成服务启动脚本:
[root@kaixincainiaofail2ban-0.8.14]# pwd
/root/fail2ban-0.8.14
[root@kaixincainiaofail2ban-0.8.14]# cp files/redhat-initd /etc/init.d/fail2ban
[root@kaixincainiaofail2ban-0.8.14]#chkconfig --add fail2ban#开机自动启动
相关主要文件说明:
/etc/fail2ban/action.d#动作文件夹,内含默认文件。iptables以及mail等动作配置
/etc/fail2ban/fail2ban.conf
#定义了fai2ban日志级别、日志位置及sock文件位置
/etc/fail2ban/filter.d
#条件文件夹,内含默认文件。过滤日志关键内容设置
/etc/fail2ban/jail.conf
#主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值
# jail[dʒeɪl]监狱
1、应用实例
设置条件:ssh远程登录5分钟内3次密码验证失败,禁止用户IP访问主机1小时,1小时该限制自动解除,此IP可以重新登录。
[root@kaixincainiaofail2ban]# ls action.d/iptables.conf
action.d/iptables.conf
[root@kaixincainiaofail2ban]# ls filter.d/sshd.conf
filter.d/sshd.conf
[root@kaixincainiaofail2ban]# ls jail.conf
jail.conf
vim jail.conf
[DEFAULT]
#全局设置
ignoreip = 127.0.0.1/8
#忽略的IP列表,不受设置限制
bantime= 600#屏蔽时间,单位:秒
findtime= 500#这个时间段内超过规定次数会被ban掉
maxretry =
3
#最大尝试次数
backend =auto
[ssh-iptables]
#单个服务检查设置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置。
enabled= false#是否激活此项(true/false)修改成true
filter= sshd#过滤规则filter的名字,对应filter.d目录下的sshd.conf
action= iptables[name=SSH, port=ssh, protocol=tcp]#动作的相关参数,对应action.d/iptables.conf文件
sendmail-whois[name=SSH,dest=you@example.com, sender=fail2ban@example.com,sendername="Fail2Ban"]#触发报警的收件人
logpath= /var/log/secure #检测的系统的登陆日志文件。这里要写sshd服务日志文件。 默认为logpath= /var/log/sshd.log
#5分钟内3次密码验证失败,禁止用户IP访问主机1小时。配置如下
bantime= 3600#禁止用户IP访问主机1小时
findtime= 300#在5分钟内内出现规定次数就开始工作
#在5分钟内内出现规定次数就开始工作
maxretry = 3#3次密码验证失败
启动服务:
[root@kaixincainiaofail2ban-0.8.14]#service fail2ban start
Startingfail2ban:[确定]
测试:
[root@kaixincainiaofail2ban-0.8.14]# > /var/log/secure
[root@kaixincainiaofail2ban-0.8.14]# /etc/init.d/fail2ban restart
Stopping fail2ban:[OK]
Startingfail2ban:[OK]
[root@kaixincainiaofail2ban-0.8.14]# iptables -L -n
测试:故意输入错误密码3次,再进行登录时,会拒绝登录
[root@kaixincainiao ~]#ssh 192.168.1.63
root@192.168.1.63'spassword:
Permission denied,please try again.
root@192.168.1.63'spassword:
Permission denied,please try again.
root@192.168.1.63'spassword:
Permission denied(publickey,password).
[root@kaixincainiao ~]#ssh 192.168.1.63
ssh: connect to host192.168.1.63 port 22: Connection refused
[root@kaixincainiao ~]#
[root@kaixincainiao fail2ban]# fail2ban-client status#配置好之后我们检测下fail2ban是否工作。
Status
|- Number of jail:1
`- Jail list:ssh-iptables
#具体看某一项的状态也可以看,如果显示被ban的ip和数目就表示成功了,如果都是0,说明没有成功。[root@kaixincainiao fail2ban]# fail2ban-client status ssh-iptables
Status for the jail:ssh-iptables
|- filter
||- File list:/var/log/secure
||- Currently failed:0
|`- Total failed:3
`- action
|- Currently banned:1
|`-IP list:192.168.1.64
`- Total banned:1
查看fail2ban的日志能够看到相关的信息
[root@kaixincainiaofail2ban]# tail /var/log/fail2ban.log
2015-03-0319:43:59,233 fail2ban.actions[12132]: WARNING [ssh-iptables] Ban 192.168.1.64
网友评论