遇到两次,一次是公司服务器搭建好后,有人尝试ssh暴力破解,auth.log不停出现错误提示
还有买的米国vps,很荣幸地遭到来自波兰的ssh破解尝试
不得不重视ssh的安全
方法:
- 修改sshd_config的默认配置。
- 禁用root远程登录
# vi /etc/ssh/sshd_config PermitRootLogin no
- 仅使用ssh 协议2
Protocol 2
- 禁用基于主机的身份认证
HostbasedAuthentication no
- 禁用用户的rhost文件
IgnoreRhosts yes
- 将SSH监听绑定到特定端口
- 禁用空密码
PermitEmptyPasswords no
- 增加日志的详细粒度
- LogLevel DEBUG
- 使用iptables控制
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name DEFAULT --rsource -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
60s内输错四次密码的ip禁止登录
注:关于iptables中的模块,查看:
root@silee:/proc/net/xt_recent# cat /proc/net/ip_tables_matches
staterecentudpliteudptcpicmp其中tcp/udp/icmp这些模块在指定-p(protocol) 时候就默认使用了。
比较新鲜但又很有用的是state和recent模块
state模块:
参数有一下几种:INVALID,ESTABLISHED,RELATED,NEW
INVALID:对于不能识别的包,为INVALID,其中包括ICMP errors,running out of memory
ESTABLISHED:指已建立的连建并且已经有了双向发包
NEW:指新发起的一个连接,或者新建立的连接但两个方向都没有发包
RELATED,指新发起的一个链接,但它与已经存在的一个连接有关,比如FTP 数据传输,或者ICMP error、
recent模块包含的参数
--name 指定生成的列表文件使用的名称,不指定用DEFAULT
--set 添加源地址到列表文件,如果列表文件中已经存在了该ip,它会更新已存的条目
--rsource匹配recent列表文件中的源地址,这是默认选项
--rdest匹配recent列表中的目的地址
--rcheck 检查源地址是不是在地址列表中
--update如果匹配上地址,则更新“最新出现”的时间戳
--remove检查源地址是不是在当前的列表文件中,如果是,删除并返回true,否则,返回false
--seconds 与--rcheck或--update配合使用,增加匹配限制条件,表明仅匹配在列表中,且给定时间出现的地址
--hitcount 必须与--rcheck 或--update匹配使用,表明在列表中,且命中数大于等于给定值,也可与--seconds一起使用。
写SSH路由策略的思路
1.控制INPUT chain
2.对于INPUT链默认为ACCEPT的情况:A检查recent文件列表看最近给定1分钟内尝试次数是不是达到了4次,如果是丢弃,如果不是,匹配下一条规则,将该ip信息记录到DEFAULT文件中
iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --seconds 60 --hitcount 4 -j DROP
iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set