通過日誌,我們時常看到有人想要拆解我們的ssh登入密碼。我們現在要做的就是遮蔽這樣子的***。
首先,限制ssh的登入回話:
man 5 sshd_config,可以看到如下的配置:
* logingracetime 120
如果使用者在規定的時間之內沒有正確的登入,則斷開。如果為0,則不限制;預設120秒
maxstartups 10
設定同時發生的未驗證的併發量,即同時可以有幾個登入連線,預設為10
也可以使用start:rate:full這樣子的配置,例如:15:30:60,如果當前的登入連線數為15個,則30%被拋棄;如果達到了60個,則全部拋棄
然後,使用防火牆,限制多次失敗或者無效的ssh登入。
其原理很簡單,通過檢查auth.log,如果乙個ip登入失敗達到或者超過5次,我們就認為是搗亂的。
先檢查/etc/syslog.conf,看看是否存在:
auth.* /var/log/auth.log
沒有就加上,我們需要記錄登入的日誌來進行判斷。
隨後,我們就使用防火牆來做我們想要做得事情了。
ipfw:
[copy to clipboard]
code:
#!/bin/sh
if ipfw show | awk '' | grep -q 20000 ; then
ipfw delete 20000
fifor ips in `cat /var/log/auth.log | grep sshd | grep "illegal" | awk '' | uniq -d` ; do
ipfw -q add 20000 deny tcp from $ips to any
done
cat /var/log/auth.log | grep sshd | grep "failed" | rev | cut -d\ -f 4 | rev | sort | uniq -c | \
( while read num ips; do
if [ $num -gt 5 ]; then
if ! ipfw show | grep -q $ips ; then
ipfw -q add 20000 deny tcp from $ips to any
fifi
done
)
ipf:
[copy to clipboard]
code:
#!/bin/sh
ifs='
'for rules in `ipfstat -i | grep "group 20000"` ; do
echo "$rules" | ipf -r -f -
done
for ips in `cat /var/log/auth.log | grep sshd | grep "illegal" | awk '' | uniq -d` ; do
echo "block in quick from $ips to any group 20000" | ipf -f -
done
cat /var/log/auth.log | grep sshd | grep "failed" | rev | cut -d\ -f 4 | rev | sort | uniq -c | \
( while read num ips; do
if [ $num -gt 5 ]; then
if ! ipfstat -i | grep $ips ; then
echo "block in quick from $ips to any group 20000" | ipf -f -
fifi
done
)
pf:[copy to clipboard]
code:
#!/bin/sh
pfctl -t ssh-violations -t flush
for ips in `cat /var/log/authlog | grep sshd | grep "illegal" | awk '' | uniq -d` ; do
pfctl -t ssh-violations -t add $ips
done
cat /var/log/authlog | grep sshd | grep "failed" | rev | cut -d\ -f 4 | rev | sort | uniq -c | \
( while read num ips; do
if [ $num -gt 5 ]; then
if ! pfctl -s rules | grep -q $ips ; then
pfctl -t ssh-violations -t add $ips
fifi
done
)
pf還需要如下設定:
/etc/pf.conf
[copy to clipboard]
code:
table persist file "/etc/ssh-violations"
...block drop in from to any
然後設定crontab:
[copy to clipboard]
code:
*/1 * * * * root /operator/sshd-fwscan.sh
SSH Auditor 一款SSH弱密碼探測工具
freebuf 2018 09 16 ssh auditor是一款可幫助你探測所在網路中ssh弱密碼的工具。以下操作ssh auditor都將自動化的完成 新增新憑據時,重新檢查所有已知主機,並且只檢查新憑據。在任何新發現的主機上,佇列乙個完整的憑據掃瞄 在任何更改了ssh版本和金鑰指紋的已知主機上...
MySQL 如何對抗解密高手
所有其它資訊作為能被任何人讀懂的文字被傳輸。如果你擔心這個,你可使用壓縮協議 mysql3.22和以上版本 使事情變得更難。甚至為了使一切更安全,你應該安裝ssh。用它,你能在乙個mysql伺服器與乙個mysql客戶之間得到乙個加密的tcp ip連線。為了使乙個mysql系統安全,強烈要求你考慮下列...
ubuntu ftp或SSH上傳檔案
ip 192.168.22.3 賬號 jonesky 密碼 2222 方案一 1 開啟命令視窗輸入 ftp 192.168.22.3 按照提示輸入使用者名稱和密碼 2 ls使用安全設定列出目錄 例如 cd files lcd home jonesky downloads dataexa get 檔名...