sshd服务防止暴力破解

目录

一、实战: sshd服务防止暴力破解

二、Ssh防暴力破解


一、实战: sshd服务防止暴力破解

实验环境:

服务端:daodao.cn IP:192.168.1.63

客户端:daodao1.cn IP:192.168.1.64

二、Ssh防暴力破解

方案一:足够强和足够负责的密码

  • 修改默认端口;
  • 拒绝root登陆,判断一个用户是否是管理员,通过用户的UID和GID;
  • 通过lsatb查看登陆失败的用户,多次尝试的用户可以拒绝此IP;

方案二:fail2ban软件防止,官网:http://www.fail2ban.org/

1.1 方法一:
1.1.1、密码足够复杂
密码的长度要大于8位最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字母和特殊符号混合组成。

字典库:密码长度20位

例如:密码为:QAZ wsx!@#$123

这样的密码就不会被黑客那么容易的破解了。密码一定要足够的复杂,切记!!!

1.1.2、修改默认端口号 sshd 默认端口号: 22
使用nmap工具扫描端口号:

[root@daodao ~]# rpm -ivh /mnt/Packages/nmap-5.21-4.el6.x86_64.rpm
[root@daodao ~]# nmap 192.168.1.63 #扫描服务开发了哪些端口
Starting Nmap 5.21 ( http://nmap.org ) at 2015-05-18 09:48 CST
Nmap scan report for daodao.cn (192.168.1.63)
Host is up (0.000027s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp  open  ssh
111/tcp open  rpcbind
Nmap done: 1 IP address (1 host up) scanned in 0.30 seconds

将默认端口号22改为80

[root@daodao ~]# vim /etc/ssh/sshd_config
# 改Port 22为:Port 80

[root@daodao ~]# /etc/init.d/sshd restart
Stopping sshd:                       [  OK  ]
Starting sshd:                       [  OK  ]

再次扫描:

[root@daodao ~]# nmap 192.168.1.63
Starting Nmap 5.21 ( http://nmap.org ) at 2015-05-22 21:13 CST
Nmap scan report for daodao.cn (192.168.1.63)
Host is up (0.000019s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
80/tcp  open  http
111/tcp open  rpcbind

测试:

[root@daodao ~]# ssh [email protected] 
ssh: connect to host 192.168.1.63 port 22: Connection refused

正确的方法:

[root@daodao ~]# ssh [email protected] -p 80

1.1.3、不使用root用户名登录

不使用用户名为root的帐号登录系统,但是要获得root超级管理员权限。

注:判断一个用户是不是超级管理员,看的是用户的ID是否为0。

例:创建一个普通帐号

[root@daodao ~]# useradd sum 
[root@daodao ~]# echo 123456 | passwd --stdin sum
Changing password for user sum.
passwd: all authentication tokens updated successfully. 

[root@daodao ~]# vim /etc/passwd
#改:root:x:0:0:root:/root:/bin/bash 为:root:x:0:0:root:/sbin/nologin
#改:sum:x:500:500::/home/mk:/bin/bash 为:sum:x:0:0::/home/mk:/bin/bash

测试:

[root@daodao ~]# ssh [email protected] -p 80  #root登录不成功
[email protected]'s password: 123456
Last login: Sun May 10 09:43:55 2015 from daodao.cn
This account is currently not available.
Connection to 192.168.1.63 closed.

[root@daodao ~]# ssh [email protected] -p 80
[email protected]'s password: 
Last login: Sun May 10 09:49:02 2015 from daodao.cn

[root@daodao ~]# whoami  #查看当前登录系统的用户名
root

[root@daodao ~]# id sum
uid=0(root) gid=0(root) groups=0(root)

以上三种方法:

1、密码足够复杂:

2、修改默认端口号

3、不使用root用户名登录

一般情况这个就可以解决了暴力破解的问题了。

1.2 方法二
ssh服务如何用fail2ban去防爆力破解:fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,很好、很实用、很强大!

fail2ban运行机制:简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志,将满足动作的相关IP利用iptables加入到dorp列表一定时间。

1.2.1 实战背景:
最近公网网站一直被别人暴力破解sshd服务密码。虽然没有成功,但会导致系统负载很高,原因是在暴力破解的时候,系统会不断地认证用户,从而增加了系统资源额外开销,导致访问公司网站速度很慢。

还原环境:

[root@daodao ~]# vim /etc/passwd
#改:root:x:0:0:root:/root:/sbin/nologin 为:root:x:0:0:root:/root:/bin/bash

[root@daodao ~]# vim /etc/ssh/sshd_config 
#改:Port 80 为:Port 22

[root@daodao ~]# service sshd restart
Stopping sshd:                       [  OK  ]
Starting sshd:                       [  OK  ]

1.2.2 安装:
[root@daodao ~]# tar  -zxvf fail2ban-0.8.14.tar.gz
[root@daodao fail2ban-0.8.14]# cd fail2ban-0.8.14 
#安装python:

[root@daodao fail2ban-0.8.14]#python setup.py install

生成服务启动脚本:

[root@daodao fail2ban-0.8.14]# cp files/redhat-initd /etc/init.d/fail2ban
[root@daodao fail2ban-0.8.14]# chkconfig --add fail2ban  添加开机启动
[root@daodao fail2ban-0.8.14]# chkconfig  --list fail2ban  查看启动项
fail2ban        0:off    1:off    2:off    3:on    4:on    5:on    6:off

你怎么知道要复制这个文件?

找规律:

[root@daodao fail2ban-0.8.14]# vim /etc/init.d/network
[root@daodao fail2ban-0.8.14]# vim /etc/init.d/sshd
[root@daodao fail2ban-0.8.14]# vim /etc/init.d/httpd

# 以上三个服务启动脚本都有:

# chkconfig: 2345    10      90

#注:     2345系统级  10启动顺序  90关机时,关闭服务的顺序
# 过滤关键字:chkconfig

[root@daodao fail2ban-0.8.14]# grep chkconfig ./* -R --color
./files/redhat-initd:# chkconfig: - 92 08 

相关主要文件说明:

cd /etc/fail2ban/
ls
/etc/fail2ban/action.d #动作文件夹,内含默认文件。iptables以及mail等动作配置
/etc/fail2ban/fail2ban.conf  #定义了fai2ban日志级别、日志位置及sock文件位置
/etc/fail2ban/filter.d           #条件文件夹,内含默认文件。过滤日志关键内容设置
/etc/fail2ban/jail.conf   #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值  

1.2.3 应用实例
设置条件:ssh远程登录5分钟内3次密码验证失败,禁止用户IP访问主机1小时,1小时该限制自动解除。

[root@daodao ~]# vim /etc/fail2ban/jail.conf #改以下红色标记内容

[ssh-iptables]
enabled  = true
filter  = sshd
action  = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"]
logpath  = /var/log/secure
findtime  = 300
maxretry = 3
bantime  = 3600

给大家介绍下配置文件的内容:

[DEFAULT]        #全局设置
ignoreip = 127.0.0.1/8    #忽略的IP列表,不受设置限制
bantime  = 600       #屏蔽时间,单位:秒
findtime  = 500       #这个时间段内超过规定次数会被ban掉
maxretry = 3        #最大尝试次数
backend = auto  [ssh-iptables]
#单个服务检查设置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置。
enabled  = false #是否激活此项(true/false)修改成 true
filter  = sshd  #过滤规则filter的名字,对应filter.d目录下的sshd.conf
action  = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数,对应action.d/iptables.conf文件
sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"] #触发报警的收件人
logpath  = /var/log/secure #检测的系统的登陆日志文件。这里要写sshd服务日志文件。 默认为logpath  = /var/log/sshd.log
#5分钟内3次密码验证失败,禁止用户IP访问主机1小时。 配置如下
bantime  = 3600     #禁止用户IP访问主机1小时
findtime  = 300 #在5分钟内内出现规定次数就开始工作
#在5分钟内内出现规定次数就开始工作
maxretry = 3  #3次密码验证失败

1.2.4 启动服务:

[root@daodao fail2ban-0.8.14]#service fail2ban start
Starting fail2ban:                     [确定]

[root@daodao ~]# ssh [email protected] #只有密码对, 就可以正常登录
[email protected]'s password: 
Last login: Wed May  6 14:58:02 2015 from daodao.cn

测试:故意输入错误密码3次,再进行登录时,会拒绝登录

[root@xuegod64 ~]# ssh 192.168.1.63
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied (publickey,password).

[root@xuegod64 ~]# ssh 192.168.1.63
ssh: connect to host 192.168.1.63 port 22: Connection refused

查看fail2ban服务运行状态:

[root@daodao fail2ban]# fail2ban-client status #配置好之后我们检测下fail2ban是否工作。
Status
|- Number of jail:    1
`- Jail list:        ssh-iptables

[root@daodao fail2ban]# fail2ban-client status ssh-iptables 
#具体看某一项的状态也可以看,如果显示被ban的ip和数目就表示成功了,如果都是0,说明没有成功。
Status for the jail: ssh-iptables
|- filter
|  |- File list:    /var/log/secure 
|  |- Currently failed:    0
|  `- Total failed:    3
     `- action
   |- Currently banned:    1
   |  `- IP list:    192.168.1.63
          `- Total banned:    1

查看fail2ban的日志能够看到相关的信息

[root@daodao fail2ban]# tail /var/log/fail2ban.log
2015-03-03 19:43:59,233 fail2ban.actions[12132]: WARNING [ssh-iptables] Ban 192.168.1.64


## 总结:

1、密码足够复杂:

2、修改默认端口号

3、不使用root用户名登录

4、使用fail2ban 防止SSHD服务被暴力破解
 

 

 

你可能感兴趣的:(网络协议与安全)