一次偶然的機會,部署在客戶那裡的機器上執行的服務都拒絕訪問,ssh也登入不了,過了一小段時間後自己恢復了,由於應用都在容器裡可以開機自啟。所以在排查問題時優先排查了是否是停電問題。
檢視開關機或重啟記錄 > last
檢視最近一次開機時間 > last -1 reboot
檢視系統從上次開機到現在執行多久了 > uptime
發現最近都沒有關機過,於是想看看是不是有什麼人登入上去做了什麼奇怪的操作,於是
檢視失敗登入記錄 > sudo lastb
不看不知道,一看嚇一跳,裡面滿滿的失敗記錄
於是突然發現有人在做ssh暴力破解。慶幸的是查了一下日誌沒有成功過。
稍微統計了一下
圖一,ip統計,前面的為攻擊次數。
圖二,攻擊用的常用使用者名稱,前面的為次數。
解決方案:
第一步:
首先趕緊去禁用了攻擊的ip段
禁用ip > vim /etc/hosts.deny
格式sshd:ip段:deny
重啟ssh服務 > systemctl restart sshd
擴充套件一下配置允許ssh的ip的方式 > vim /etc/hosts.allow 格式為 sshd:ip段:allow
allow的許可權大於deny,可以在deny中配置 sshd:all 禁用所有,再在allow中配置需要的ip
注意,多開乙個視窗防止配置錯誤ssh進不去了。
第二步:
修改ssh埠,禁用root使用者(如果開啟了的話),更換常用的使用者登入名,增強密碼安全性等操作。
第三步:
在linux主機中加入denyhosts等類似安全模組,可以通過配置自動禁用多次輸入密碼錯誤後的ip,並且發郵件告警。
第三步的配置未完待續。。。。
防止SSH暴力破解
我的伺服器每天都會有無數的ssh失敗嘗試記錄,有些無聊的人一直不停的掃瞄,這些人真夠無聊的,沒事吃飽了撐著,老找些軟體在那裡窮舉掃瞄,所以大家第一要記的設定乙個好的夠複雜的密碼。怎麼樣防,如果要一條一條將這些ip阻止顯然治標不治本,還好有denyhosts軟體來代替我們手搞定他。denyhosts是...
centos 防ssh暴力破解
說明 本篇實現shell統計訪問失敗的ip和次數,從而根據這些再通過防火牆規則來限制這些ip再次暴破,指令碼如下 實現 1.編寫shell指令碼 cat root ssh failed.sh 內容如下 bin sh scanip grep failed var log secure awk sort...
denyhost防止SSH暴力破解
參考 denyhost 官網 以下是安裝記錄 以centos 6.5,denyhosts 2.6 為例 預設是安裝到 usr share denyhosts目錄的。2.配置 cd usr share denyhosts cp denyhosts.cfg dist denyhosts.cfg vi d...