linux系统sshd服务防止暴力破解应对策略，你的安全吗?

sshd服务暴力破解步骤

sshd暴力破解方法

防止暴力破解调优

1. 变更默认端口

2. 变更root用户

3. 日志监控-->防止暴力破解(fail2ban应用)

fail2ban详解

在初始化的服务器中,20种ssh服务调优方法!

第三步:运行暴力破解程序,破解密码

为了防止我们的密码被暴力破解,服务器的密码一定不要使用弱口令!!!而且在企业中,一般会要求半个月或多长时间变更一次密码(公司中运维工程师会要求的)

弱口令:简单的密码,如下:

123456

awp@host

12HLad^

强口令: ---> 密码长度大于8位(最好不少于14位),且有字母 数字 和特殊符号混合构成的高复杂度的字符串

防止暴力破解调优

安装sshd-server

查询服务是否安装:

rpm -qa | grep openssh-server

若没有安装,可使用如下命令进行安装:

yum -y install openssh* #安装所有openssh软件包

通过如下命令,查看openssh生成的文件列表:

rpm -ql openssh

1. 变更默认端口

sshd服务配置文件位于/etc/ssh目录下!

ls /etc/ssh

ssh_config ---> 客户端配置文件

sshd_config ---> 服务器端配置文件

我们修改服务器端文件(别人访问我们时,我们是sshd服务器!!!)

vim /etc/ssh/sshd_config

修改默认端口配置:

#Port 22

改为:

Port 123

保存退出,并重启sshd服务:

service sshd restart

或

/etc/init.d/sshd restart

查看监听端口是否生效:

netstat -anlpt | grep ssh

通过本机远程连接测试!(本机远程连接本机!)本机即使客户端,也是服务端

ssh 192.168.31.222 -p 123 #指定端口远程连接

2. 扫描某IP地址开放端口

nmap 192.168.171.120

这里我发现,当设置ssh开放端口在1000以内是扫描不出来的!!!而且若是指定到其他服务的端口上时,扫描到的服务名称就是该服务的名称!!!

这就是为什么我们要修改端口的意思!!!让别人不知道我们的哪个端口是sshd服务的端口!

修改:root:x:0:0:root:/root:/bin/bash

为:root:x:0:0:root:/root:/bin/nologin #禁止root用户登录

修改:xg:x:500:500::/home/xg:/bin/bash

为:xg:x:0:0::/home/xg:/bin/bash #普通用户提权

远程连接测试:

root用户连接测试

xg用户连接测试:

另外，改下面内容后，xg用户也是登录不上的。只判断UID是否为0，不查看用户名的：

vim /etc/ssh/sshd_config

改：

#PermitRootLogin yes

为：

PermitRootLogin no

service sshd restart

测试：

ssh xg@192.168.31.222

xg@192.168.31.222's password:

Permission denied, please try again.

一般情况这个就可以解决了暴力破解的问题了。

到目前为止小的暴力破解已经解决了!!!

但是,虽然我们有效的降低了别人破解我们系统的可能性,但是,别人在攻击时,会造成sshd服务器系统资源占用(可能导致瘫痪!)

为有效防止系统资源无辜被占用导致系统缓慢或瘫痪,我们可以使用防火墙!!!---->一般公司不使用防火墙.

我们还可以使用fail2ban软件,实现一些规则的制定!!避免别人恶意攻击服务器造成不必要的损失!

fail2ban ---> 系统日志监控

通过匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,很好 很实用 很强大!

#ban （b?n）禁令

简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志，将满足动作的相关IP利用iptables加入到dorp列表一定时间。

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ROUTER-SSH --update --seconds 1800 --hitcount 5 -j DROP

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ROUTER-SSH --set -j ACCEPT

设置条件：ssh远程登录5分钟内3次密码验证失败，禁止用户ip访问主机1小时，1小时该限制自动解除，此ip可以重新登录

具体配置：

/etc/fail2ban/action.d #动作文件夹，内含默认文件。iptales以及mail等动作

/etc/fail2ban/fail2ban.conf #定义了发ilban日志级别、日志位置及sock文件位置

/etc/fail2ban/filter.d #条件文件夹，内含默认文件。过滤日志关键内容设置

/etc/fail2ban/jail.conf #主要配置文件，模块化，主要设置启用ban动作的服务及动作阀值

[ssh-iptables]

enabled=true #是否激活此项

logpath=/var/log/secure #验证系统的登录日志文件，这里要写sshd服务日志文件

findtime=300 #在5分钟内出现规定次数就开始工作，默认时间单位秒

maxtery=3 #3次密码验证失败

bantime=3600 #禁止用户IP访问主机1小时

本文是收集来的防止暴力破解的方法提供参考