近期发现,我的服务器每次root登陆都有N次失败的登陆尝试,很明显被暴力破解ing。寻思着得提前“自救”。
思路:
①、暴力破解都是按照字典尝试登陆,登陆失败20次就把该ip给拉黑(反正我的IP又不会输错密码登陆)
②、只允许密钥登陆
由于我的环境还是需要密码登陆,故而选择方法1。
原理:
对于能过xinetd程序启动的网络服务,比如ftp telnet,我们就可以修改/etc/hosts.allow和/etc/hosts.deny的配制,来许可或者拒绝哪些IP、主机、用户可以访问。
但不是任何服务程序都能使用TCP_wrappers的,例如使用命令ldd /usr/sbin/sshd,如果输出中有libwrap,则说明可以使用TCP_wrappers, 即该服务可以使用/etc/hosts.allow和/etc/hosts.deny,如果输出没有libwrap则不可使用。
从上图看,我的server是可以用这种方法的。直接写脚本secure_ssh.sh,
#! /bin/bash
lastb > /tmp/lastb.txt
cat /tmp/lastb.txt |grep ssh|awk '{print $3}' |uniq -c|awk '($1>"1"){print}' > /tmp/black.txt
cat /tmp/black.txt | while read line
do
IP=`echo $line |awk -F ' ' '{print $2}'`
NUM=`echo $line |awk -F ' ' '{print $1}'`
if [ $NUM -gt 20 ];then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];then
echo "sshd:$IP:deny" >> /etc/hosts.deny
fi
fi
done
加定时任务。
#someone try to login server by ssh fail more than 20 times, then put it in black */5 * * * * /bin/sh /home/hik/secure_ssh.sh
结果验证:没问题,自己用其他服务器试过,错20次就拉黑了。
PS:
1、可能会遇到脚本执行了,但是不生效,原因是openssh版本可能过低,最好yum重装一下最新版本openssh;
2、方法比较拙,有更好的方法可以留言赐教,谢谢;