防禦暴力破解SSH攻擊

2022-03-19 20:07:18 字數 2436 閱讀 3910

託管在idc的機器我們通常都用ssh方式來遠端管理.但是經常可以發現log-watch的日誌中有大量試探登入的

資訊,為了我們的主機安全,有必要想個方法來阻擋這些可恨的"hacker"

1 vi /etc/ssh/sshd_config

#port 22

預設埠為22,為了避免被掃瞄,去掉#,改成乙個其他的埠,比如45632

儲存後重啟sshd服務.service sshd restart

2沒什麼可說的,密碼的複雜性可以增加破解的難度,大小寫混合加上數字並且有足夠的密碼長度就比較安全

了,唯一的問題就是要牢記密碼.

3.預設的登入方式是password,如果需要用rsa公鑰登入,需要先建立rsa key

#ssh-keygen -t rsa -b 1024

會生成私鑰/home/username/.ssh/id_rsa

同時生成公鑰/home/username/.ssh/id_rsa.pub

輸入乙個加密短語(也可省略)

4 iptbles指令碼

此指令碼允許每分鐘3個連線.有白名單,並有日誌紀錄

iptables -a input -p tcp --dport 22 -m state --state new -m recent --set  --name ssh

iptables -a input -p tcp --dport 22 -m state --state new -j ssh_whitelist

iptables -a input -p tcp --dport 22 -m state --state new -m recent --update  --seconds 60 --

hitcount 4 --rttl --name ssh -j ulog --ulog-prefix ssh_brute_force

iptables -a input -p tcp --dport 22 -m state --state new -m recent --update  --seconds 60 --

hitcount 4 --rttl --name ssh -j drop

iptables的版本需要》1.2.11 (1.2不支援 --rttl引數)

5使用sshd日誌過濾

有幾個軟體(指令碼)可以做到.

sshfilter [url]

fail2ban  [url]

denyhosts [url]

$ tar zxvf denyhosts-2.6.tar.gz      

$ cd denyhosts-2.6

as root:

# python setup.py install

#cd /usr/share/denyhost

# cp denyhosts.cfg-dist denyhosts.cfg

配置檔案

# cp daemon-control-dist daemon-control

啟動指令碼

# chown root daemon-control

# chmod 700 daemon-control

# cd /etc/init.d

# ln -s /usr/share/denyhosts/daemon-control denyhosts

# chkconfig --add denyhosts

新增到開機啟動服務中

2 設定可執行許可權 chmod 755 /usr/local/bin/sshblock.sh

3 在/etc/hosts.allow中新增以下內容

#__start_sshblock__

#__end_sshblock__

sshd : all : spawn (/usr/local/bin/sshblock.sh %a)&

設定dontblock 白名單

burst_max=5

burst_tim=60

60秒內登入5次就封鎖

purge_tim=3600

3600秒後解凍

7  使用knockd

knockd 監視乙個預定義模式在iptables的日誌,例如一次擊中埠6356,一次擊中埠63356,兩次擊中埠

9356,這相當於敲乙個關閉的門用一種特殊的暗碼來被konckd識別,konckd 將使用iptables來開啟乙個預定

義埠例如ssh的22埠在乙個預定定義時間.(比如一分鐘),如果乙個ssh session 在這個時間範圍內開啟,

這個埠會一直保留.直到預定義時間過期後ssh埠被knockd關掉.

缺點:比較複雜的方案,不適合普通人

需要客戶端(knockd-client)來實現port knocking",同時需要knockd-server來響應.

實際上,很容易檢測到這種通訊模式,一旦攻擊者可以監控你的通訊,這種解決方案無法提供安全防護針對本

地攻擊者.

**:

909422229 SSH暴力破解與防禦

什麼是ssh暴力破解攻擊?ssh暴力破解是指攻擊者通過密碼字典或隨機組合密碼的方式嘗試登陸伺服器 針對的是全網機器 這種攻擊行為一般不會有明確攻擊目標,多數是通過掃瞄 軟體直接掃瞄整個廣播域或網段 怎樣檢測暴力破解攻擊?1 檢視近期登陸日誌 2 計算近期失敗的登陸次數 怎樣防禦暴力破解攻擊?1 定期...

SSH密碼暴力破解及防禦實戰

二 medusa 美杜莎 三 patator 四 brutespray 五 msf 六 暴力破解防禦 examples hydra 1 user p passlist.txt hydra l userlist.txt p defaultpw imap hydra c defaults.txt 6 p...

暴力破解漏洞攻擊

一 暴力破解漏洞原理 暴力破解漏洞的產生來自於伺服器並沒有對輸入引數的內容,輸入引數次數進行限制。導致攻擊者可以通過暴力的手段進行破解所需要的資訊。二 暴力破解例項 注釋 演示環境dvwa測試環境,安全等級 low 暴力破解工具burpsuite,2.1 解析 isset 函式 檢測變數是否已經設定...