sshd服务防止暴力破解

目录

一、实战： sshd服务防止暴力破解

二、Ssh防暴力破解

---

一、实战： sshd服务防止暴力破解

实验环境：

服务端：daodao.cn IP：192.168.1.63

客户端：daodao1.cn IP：192.168.1.64

二、Ssh防暴力破解

方案一：足够强和足够负责的密码

• 修改默认端口;
• 拒绝root登陆，判断一个用户是否是管理员，通过用户的UID和GID;
• 通过lsatb查看登陆失败的用户，多次尝试的用户可以拒绝此IP;

方案二：fail2ban软件防止，官网：http://www.fail2ban.org/

1.1 方法一：
1.1.1、密码足够复杂
密码的长度要大于8位最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字母和特殊符号混合组成。

字典库：密码长度20位

例如：密码为:QAZ wsx!@#$123

这样的密码就不会被黑客那么容易的破解了。密码一定要足够的复杂，切记！！！

1.1.2、修改默认端口号 sshd 默认端口号： 22
使用nmap工具扫描端口号：

[root@daodao ~]# rpm -ivh /mnt/Packages/nmap-5.21-4.el6.x86_64.rpm
[root@daodao ~]# nmap 192.168.1.63 #扫描服务开发了哪些端口
Starting Nmap 5.21 ( http://nmap.org ) at 2015-05-18 09:48 CST
Nmap scan report for daodao.cn (192.168.1.63)
Host is up (0.000027s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp  open  ssh
111/tcp open  rpcbind
Nmap done: 1 IP address (1 host up) scanned in 0.30 seconds

将默认端口号22改为80

[root@daodao ~]# vim /etc/ssh/sshd_config
# 改Port 22为：Port 80

[root@daodao ~]# /etc/init.d/sshd restart
Stopping sshd:                       [  OK  ]
Starting sshd:                       [  OK  ]

再次扫描：

[root@daodao ~]# nmap 192.168.1.63
Starting Nmap 5.21 ( http://nmap.org ) at 2015-05-22 21:13 CST
Nmap scan report for daodao.cn (192.168.1.63)
Host is up (0.000019s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
80/tcp  open  http
111/tcp open  rpcbind

测试：

[root@daodao ~]# ssh [email protected] 
ssh: connect to host 192.168.1.63 port 22: Connection refused

正确的方法：

[root@daodao ~]# ssh [email protected] -p 80

1.1.3、不使用root用户名登录

不使用用户名为root的帐号登录系统，但是要获得root超级管理员权限。

注：判断一个用户是不是超级管理员，看的是用户的ID是否为0。

例：创建一个普通帐号

[root@daodao ~]# useradd sum 
[root@daodao ~]# echo 123456 | passwd --stdin sum
Changing password for user sum.
passwd: all authentication tokens updated successfully. 

[root@daodao ~]# vim /etc/passwd
#改：root:x:0:0:root:/root:/bin/bash 为：root:x:0:0:root:/sbin/nologin
#改：sum:x:500:500::/home/mk:/bin/bash 为：sum:x:0:0::/home/mk:/bin/bash

测试：

[root@daodao ~]# ssh [email protected] -p 80  #root登录不成功
[email protected]'s password: 123456
Last login: Sun May 10 09:43:55 2015 from daodao.cn
This account is currently not available.
Connection to 192.168.1.63 closed.

[root@daodao ~]# ssh [email protected] -p 80
[email protected]'s password: 
Last login: Sun May 10 09:49:02 2015 from daodao.cn

[root@daodao ~]# whoami  #查看当前登录系统的用户名
root

[root@daodao ~]# id sum
uid=0(root) gid=0(root) groups=0(root)

以上三种方法：

1、密码足够复杂：

2、修改默认端口号

3、不使用root用户名登录

一般情况这个就可以解决了暴力破解的问题了。

1.2 方法二
ssh服务如何用fail2ban去防爆力破解：fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是防火墙），而且可以发送e-mail通知系统管理员，很好、很实用、很强大！

fail2ban运行机制：简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志，将满足动作的相关IP利用iptables加入到dorp列表一定时间。

1.2.1 实战背景：
最近公网网站一直被别人暴力破解sshd服务密码。虽然没有成功，但会导致系统负载很高，原因是在暴力破解的时候，系统会不断地认证用户，从而增加了系统资源额外开销，导致访问公司网站速度很慢。

还原环境：

[root@daodao ~]# vim /etc/passwd
#改：root:x:0:0:root:/root:/sbin/nologin 为：root:x:0:0:root:/root:/bin/bash

[root@daodao ~]# vim /etc/ssh/sshd_config 
#改：Port 80 为：Port 22

[root@daodao ~]# service sshd restart
Stopping sshd:                       [  OK  ]
Starting sshd:                       [  OK  ]

1.2.2 安装：
[root@daodao ~]# tar  -zxvf fail2ban-0.8.14.tar.gz
[root@daodao fail2ban-0.8.14]# cd fail2ban-0.8.14 
#安装python：

[root@daodao fail2ban-0.8.14]#python setup.py install

生成服务启动脚本：

[root@daodao fail2ban-0.8.14]# cp files/redhat-initd /etc/init.d/fail2ban
[root@daodao fail2ban-0.8.14]# chkconfig --add fail2ban  添加开机启动
[root@daodao fail2ban-0.8.14]# chkconfig  --list fail2ban  查看启动项
fail2ban        0:off    1:off    2:off    3:on    4:on    5:on    6:off

你怎么知道要复制这个文件？

找规律：

[root@daodao fail2ban-0.8.14]# vim /etc/init.d/network
[root@daodao fail2ban-0.8.14]# vim /etc/init.d/sshd
[root@daodao fail2ban-0.8.14]# vim /etc/init.d/httpd

# 以上三个服务启动脚本都有：

# chkconfig: 2345    10      90

#注：     2345系统级  10启动顺序  90关机时，关闭服务的顺序
# 过滤关键字：chkconfig

[root@daodao fail2ban-0.8.14]# grep chkconfig ./* -R --color
./files/redhat-initd:# chkconfig: - 92 08 

相关主要文件说明：

cd /etc/fail2ban/
ls
/etc/fail2ban/action.d #动作文件夹，内含默认文件。iptables以及mail等动作配置
/etc/fail2ban/fail2ban.conf  #定义了fai2ban日志级别、日志位置及sock文件位置
/etc/fail2ban/filter.d           #条件文件夹，内含默认文件。过滤日志关键内容设置
/etc/fail2ban/jail.conf   #主要配置文件，模块化。主要设置启用ban动作的服务及动作阀值  

1.2.3 应用实例
设置条件：ssh远程登录5分钟内3次密码验证失败，禁止用户IP访问主机1小时，1小时该限制自动解除。

[root@daodao ~]# vim /etc/fail2ban/jail.conf #改以下红色标记内容

[ssh-iptables]
enabled  = true
filter  = sshd
action  = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"]
logpath  = /var/log/secure
findtime  = 300
maxretry = 3
bantime  = 3600

给大家介绍下配置文件的内容：

[DEFAULT]        #全局设置
ignoreip = 127.0.0.1/8    #忽略的IP列表,不受设置限制
bantime  = 600       #屏蔽时间，单位：秒
findtime  = 500       #这个时间段内超过规定次数会被ban掉
maxretry = 3        #最大尝试次数
backend = auto  [ssh-iptables]
#单个服务检查设置，如设置bantime、findtime、maxretry和全局冲突，服务优先级大于全局设置。
enabled  = false #是否激活此项（true/false）修改成 true
filter  = sshd  #过滤规则filter的名字，对应filter.d目录下的sshd.conf
action  = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数，对应action.d/iptables.conf文件
sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"] #触发报警的收件人
logpath  = /var/log/secure #检测的系统的登陆日志文件。这里要写sshd服务日志文件。 默认为logpath  = /var/log/sshd.log
#5分钟内3次密码验证失败，禁止用户IP访问主机1小时。 配置如下
bantime  = 3600     #禁止用户IP访问主机1小时
findtime  = 300 #在5分钟内内出现规定次数就开始工作
#在5分钟内内出现规定次数就开始工作
maxretry = 3  #3次密码验证失败

1.2.4 启动服务：

[root@daodao fail2ban-0.8.14]#service fail2ban start
Starting fail2ban:                     [确定]

[root@daodao ~]# ssh [email protected] #只有密码对， 就可以正常登录
[email protected]'s password: 
Last login: Wed May  6 14:58:02 2015 from daodao.cn

测试：故意输入错误密码3次，再进行登录时，会拒绝登录

[root@xuegod64 ~]# ssh 192.168.1.63
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied (publickey,password).

[root@xuegod64 ~]# ssh 192.168.1.63
ssh: connect to host 192.168.1.63 port 22: Connection refused

查看fail2ban服务运行状态：

[root@daodao fail2ban]# fail2ban-client status #配置好之后我们检测下fail2ban是否工作。
Status
|- Number of jail:    1
`- Jail list:        ssh-iptables

[root@daodao fail2ban]# fail2ban-client status ssh-iptables 
#具体看某一项的状态也可以看，如果显示被ban的ip和数目就表示成功了，如果都是0，说明没有成功。
Status for the jail: ssh-iptables
|- filter
|  |- File list:    /var/log/secure 
|  |- Currently failed:    0
|  `- Total failed:    3
     `- action
   |- Currently banned:    1
   |  `- IP list:    192.168.1.63
          `- Total banned:    1

查看fail2ban的日志能够看到相关的信息

[root@daodao fail2ban]# tail /var/log/fail2ban.log
2015-03-03 19:43:59,233 fail2ban.actions[12132]: WARNING [ssh-iptables] Ban 192.168.1.64

## 总结：

1、密码足够复杂：

2、修改默认端口号

3、不使用root用户名登录

4、使用fail2ban 防止SSHD服务被暴力破解