良许Linux教程网 干货合集 Linux防止SSH暴力具体方法

Linux防止SSH暴力具体方法

如何防止SSH暴力破解?暴力破解最直接的做法就是利用密码字典去猜,如果对方的密码非常长,猜密码的过程就会无限延长,但总有一天会被猜中,面对可能出现的问题,我们可以使用以下方法来应对。

Linux防止SSH暴力具体方法

查看 /var/log/secure日志文件可以看到文件中有很多认证失败的ip登录信息,这就说明已经被无数不同的IP地址和不同的用户进行SSH尝试连接了。

密码再复杂也顶不住这样暴力扫描啊,为预防万一,下面总结了几种防范方法:

1、禁止root登录

修改sshd服务器端的配置文件/etc/ssh/sshd_config

[root@vps ~]$ vi /etc/ssh/sshd_config
---------------配置如下----------------
PermitRootLogin no
重启  
[root@vps ~]$ service sshd restart

2、修改 SSH 默认端口

修改SSH默认端口号,sshd服务器端的配置文件为 /etc/ssh_config

[root@vps ~]$  vi /etc/ssh/sshd_config
---------------配置如下----------------
Port 2280
重启SSH

[root@vps ~]$ systemctl restart sshd
查看状态

[root@vps ~]$ systemctl status sshd
查看端口是否更改

[root@vps ~]$ netstat -ntlp | grep 2280
tcp    0   0 0.0.0.0:2280   0.0.0.0:*   LISTEN   8793/sshd          
tcp6   0   0 :::2280        :::*        LISTEN   8793/sshd

3、根据secure文件中失败的ip次数做限制

当同一个IP地址超过5次的尝试,那么就加入/etc/hosts.deny

#! /bin/bash
# 提取所有的IP到black.list文件中
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list

# 设定次数
define="5"
for i in `cat  /usr/local/bin/black.list`
do
 IP=`echo $i |awk -F= '{print $1}'`
 NUM=`echo $i|awk -F= '{print $2}'`

 if [ $NUM -gt $define]; then
   grep $IP /etc/hosts.deny > /dev/null
   if [ $? -gt 0 ];then
     echo "sshd:$IP:deny" >> /etc/hosts.deny
   fi
 fi
done

添加计划任务。

[root@vps ~]$ crontab -e
# 每3分钟检查一次
*/3 * * * *  sh /usr/local/bin/secure_ssh.sh
重启 crontab
[root@vps ~]$ systemctl restart crond

以上就是良许教程网为各位朋友分享的Linu系统相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多干货等着你 !

137e00002230ad9f26e78-265x300
本文由 良许Linux教程网 发布,可自由转载、引用,但需署名作者且注明文章出处。如转载至微信公众号,请在文末添加作者公众号二维码。
良许

作者: 良许

良许,世界500强企业Linux开发工程师,公众号【良许Linux】的作者,全网拥有超30W粉丝。个人标签:创业者,CSDN学院讲师,副业达人,流量玩家,摄影爱好者。
上一篇
下一篇

发表评论

联系我们

联系我们

公众号:良许Linux

在线咨询: QQ交谈

邮箱: yychuyu@163.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部