每一個可以努力的日子,都是一份厚禮。
VPS 防止 SSH 暴力登錄嘗試攻擊
前些時談了一下如何屏蔽對網站服務器的掃描,屬於前台防禦。後來 Felix 發了一篇 blog 提到將多次嘗試 SSH 登錄失敗的 IP ban 掉,才想起來去看一下日誌,沒想到後院起火了。
查看日誌文件:
$ sudo cat /var/log/auth.log |
沒想到滿屏滿屏的往下刷,全是
Failed password for root from 123.15.36.218 port 51252 ssh2
reverse mapping checking getaddrinfo for pc0.zz.ha.cn [218.28.79.228] failed – POSSIBLE BREAK-IN ATTEMPT!
Invalid user akkermans from 218.28.79.228
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.28.79.228
來統計一下有多少人在暴力破解我的 root 密碼吧
$ sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more 470 222.122.52.150 411 123.15.36.218 139 177.8.168.48 20 74.81.83.226 18 77.108.112.131 2 95.58.255.62 1 218.28.79.228 1 188.132.163.154 |
很明顯我禁用了 root 登錄,人家也不是那麼笨,開始暴力猜用戶名
$ sudo grep "Failed password for invalid user" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more 3190 218.28.79.228 646 222.122.52.150 172 123.15.36.218 65 177.8.168.48 4 222.76.211.149 |
某個人嘗試了 3000 多次,好吧,lovelucy 這個小博客真有那麼 valuable 么。。為了防範於未然,我們可以做些配置,讓 VPS 服務器更加安全。
1、修改 SSH 端口,禁止 root 登陸
修改/etc/ssh/sshd_config文件
$ sudo vi /etc/ssh/sshd_config Port 4484 #一個別人猜不到的端口號 PermitRootLogin no $ sudo /etc/init.d/ssh restart |
2、禁用密碼登陸,使用 RSA 私鑰登錄
Amazon EC2 服務器本來就是只允許使用私鑰登錄的,但是這樣的話我如果想在別的電腦上臨時 SSH 上來,又沒帶私鑰文件的情況下,就很麻煩。所以我又手動開啟了密碼驗證登錄。不管怎樣,這一條還是先列出來吧
# 在客戶端生成密鑰 $ ssh-keygen -t rsa # 把公鑰拷貝至服務器 $ ssh-copy-id -i .ssh/id_rsa.pub server # 也可以手動將.shh/id_rsa.pub拷貝至服務器用戶目錄的.ssh中,記得修改訪問權限 # $ scp .shh/id_rsa.pub server:~/.ssh # 在服務器中 $ cd ./.ssh/ $ mv id_rsa.pub authorized_keys $ chmod 400 authorized_keys $ vi /etc/ssh/sshd_config RSAAuthentication yes #RSA認證 PubkeyAuthentication yes #開啟公鑰驗證 AuthorizedKeysFile .ssh/authorized_keys #驗證文件路徑 PasswordAuthentication no #禁止密碼認證 PermitEmptyPasswords no #禁止空密碼 UsePAM no #禁用PAM # 最後保存,重啟 $ sudo /etc/init.d/ssh restart |
3、安裝denyhosts
這個方法比較省時省力。denyhosts 是 Python 語言寫的一個程序,它會分析 sshd 的日誌文件,當發現重複的失敗登錄時就會記錄 IP 到 /etc/hosts.deny 文件,從而達到自動屏 IP 的功能。這和我之前介紹的 自動屏蔽掃描的腳本 是一個思路。如果靠人工手動添加的話還不把人累死。現今 denyhosts 在各個發行版軟件倉庫里都有,而且也不需要過多配置,傻瓜易用。
安裝:
# Debian/Ubuntu: $ sudo apt-get install denyhosts # RedHat/CentOS $ yum install denyhosts # Archlinux $ yaourt denyhosts # Gentoo $ emerge -av denyhosts |
默認配置就能很好的工作,如要個性化設置可以修改 /etc/denyhosts.conf
$ vi /etc/denyhosts.conf SECURE_LOG = /var/log/auth.log #ssh 日誌文件,它是根據這個文件來判斷的。 HOSTS_DENY = /etc/hosts.deny #控制用戶登陸的文件 PURGE_DENY = #過多久後清除已經禁止的,空表示永遠不解禁 BLOCK_SERVICE = sshd #禁止的服務名,如還要添加其他服務,只需添加逗號跟上相應的服務即可 DENY_THRESHOLD_INVALID = 5 #允許無效用戶失敗的次數 DENY_THRESHOLD_VALID = 10 #允許普通用戶登陸失敗的次數 DENY_THRESHOLD_ROOT = 1 #允許root登陸失敗的次數 DENY_THRESHOLD_RESTRICTED = 1 WORK_DIR = /var/lib/denyhosts #運行目錄 SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES HOSTNAME_LOOKUP=YES #是否進行域名反解析 LOCK_FILE = /var/run/denyhosts.pid #程序的進程ID ADMIN_EMAIL = root@localhost #管理員郵件地址,它會給管理員發郵件 SMTP_HOST = localhost SMTP_PORT = 25 SMTP_FROM = DenyHosts <nobody@localhost> SMTP_SUBJECT = DenyHosts Report AGE_RESET_VALID=5d #用戶的登錄失敗計數會在多久以後重置為0,(h表示小時,d表示天,m表示月,w表示周,y表示年) AGE_RESET_ROOT=25d AGE_RESET_RESTRICTED=25d AGE_RESET_INVALID=10d RESET_ON_SUCCESS = yes #如果一個ip登陸成功後,失敗的登陸計數是否重置為0 DAEMON_LOG = /var/log/denyhosts #自己的日誌文件 DAEMON_SLEEP = 30s #當以後台方式運行時,每讀一次日誌文件的時間間隔。 DAEMON_PURGE = 1h #當以後台方式運行時,清除機制在 HOSTS_DENY 中終止舊條目的時間間隔,這個會影響PURGE_DENY的間隔。 |
查看我的 /etc/hosts.deny 文件發現裡面已經有 8 條記錄。
$ sudo cat /etc/hosts.deny | wc -l 8 |
這篇文章由lovelucy於2012-08-22 12:33發表在信息安全。你可以訂閱RSS 2.0 也可以發表評論或引用到你的網站。除特殊說明外文章均為本人原創,並遵從署名-非商業性使用-相同方式共享創作協議,轉載或使用請註明作者和來源,尊重知識分享。 |
學習了,漲姿勢啊!!
這條命令顯示攻擊者 嘗試密碼次數
cat /var/log/auth.log|awk ‘/Failed/{print $(NF-3)}’|sort|uniq -c|awk ‘{print $2″=”$1;}’
謝謝,暴力攻擊從來沒有停止過。