有一天突然收到一封邮件,邮件内容告知我的ECS服务器作为肉鸡在攻击别的机器,期初一想,一定是我机器的账号密码被泄露,或者是被人暴力破解,于是乎,我就查询了一下我机器的账号登录记录。
如何判断自己正在遭受ssh暴力破解
使用root账号ssh登录服务器后使用lastb命令,就会会显示最近错误登录的日志,包括通过ssh服务错误登录的日志。
如果结果和上面的内容一致,出现大量的输出说明你的服务器正在遭受黑客们的暴力破解。
防止暴力破解的方式
方法一:修改ssh或者ftp远程登录的端口
修改vim /etc/ssh/sshd_config文件中的Port 将前方的#注释删除,并将22修改为你想要使用远程登录的端口,例如9999。
在防火墙上添加运行端口:
iptables -I INPUT -p tcp –dport 9999 -j ACCEPT
如果您使用的ubuntu系统并使用ufw,可以使用命令:sudo ufw allow 54231
如果您使用CentOS7系统并使用firewalld,可以使用命令:
firewall-cmd –zone=public –add-port=54231/tcp –permanent
如果是使用云服务器,云服务商有提供外部防火墙,例如阿里云的安全组的情况下还要在外部的安全组中增加允许tcp端口54231端口的策略。
最后使用serivce sshd restart重启sshd服务即可。
CentOS7用户使用systemctl restart sshd。
重启服务之后登录服务器都需要输入指定的远程端口才能够登录服务器,大大降低了黑客攻击服务器的概率。
方法二:限制登录IP
如果你的公司或者常常需要登录服务器的工作网络环境拥有固定的IP地址时,限制登录IP地址就可以很好的保护服务器免受黑客攻击。如果没有上述的条件,我们也可以通过搭建堡垒机,将所有服务器都设置为允许堡垒机的IP地址登录即可保护您的服务器。
操作起来相当简单,首先在vim /etc/hosts.allow中加入如下信息:
sshd:46.16.*.*
这条信息表示sshd服务允许向IP地址为46.16开头的IP地址提供服务。
其次在vim /etc/hosts.deny中加入如下信息:
sshd:all:deny
这条信息表示sshd服务不允许向所有IP地址提供服务。
如此一来服务器将只有指定的IP地址可以访问。
方法三:使用非root用户登录
禁止root用户登录并且设置允许其他用户登录后切换至root进行操作。这样黑客如果想要通过ssh登录服务器除了密码之外首先他还需要知道服务器允许登录的用户,这样将大大降低黑客攻破ssh的可能性,禁止root账号登录是最常用的一种安全策略,所有大公司的服务器都是把root账号禁用了的
首先,在服务器内创建一个用户,useradd itwgy.com
并且设置密码:passwd itwgy.com ,当然密码需要尽量复杂,包含字符,大小写字母,数字,长度尽量大于15位
接下来我们需要允许此用户能够以root用户身份运行命令。
使用visudo命令进入文本编辑模式,于92行附近
## Syntax:
##
## user MACHINE=COMMANDS
##
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
itwgy.com ALL=(ALL) NOPASSWD:ALL
添加红色字体信息:”ALL=(ALL) NOPASSWD:ALL”,保存退出后可以验证一下。
[root@localhost ~]#visudo
[root@localhost ~]# su itwgy.com
[itwgy.com@localhost root]$ sudo su -
Last login: Tue May 22 12:55:36 CST 2018 on pts/1
[root@localhost ~]#whoami
root
首先使用su itwgy.com切换至itwgy.com用户,接下来我们可以使用sudo su -命令切换到root用户。
同样我们也可以通过远程登录方式验证,使用ssh客户端以itwgy.com用户登录系统后,再使用sudo su -命令进行切换。
在设置可以通过itwgy.com用户登录系统并能够自由切换至管理员用户操作后,我们需要禁止root用户通过远程方式登录系统。
在vim /etc/ssh/sshd_config文件内添加“PermitRootLogin no”,后重启sshd服务,重启命令为service sshd restart ,启动后,root用户就将无法通过ssh服务直接连接到服务器。