河池城乡住房和建设局网站,wordpress安装域名,会所网站建设,图片识别搜索引擎一. 方法介绍
防止暴力破解的四种方法#xff1a; 1 密码要写的足够的复杂#xff0c;通常建议将密码写16位#xff0c;并且无连贯的数字或者字母#xff1b;当然也可以固定一个时间修改一次密码#xff0c;推荐是一个月修改一次会稳妥一些2 修改ssh的端口号#xff0c;…一. 方法介绍
防止暴力破解的四种方法 1 密码要写的足够的复杂通常建议将密码写16位并且无连贯的数字或者字母当然也可以固定一个时间修改一次密码推荐是一个月修改一次会稳妥一些2 修改ssh的端口号给对方一些迷惑性因为远程linux服务器默认端口是22修改成其他的端口三位数四位数的都行这样能避免大部分的暴力破解的可能性3 通常我们远程登录都是使用root用户进行登录的我们将root用户设置成系统用户并且不允许root账号直接登录添加一个普通用户给它赋予root用户的权限这样也能极大的避免对方破解成功的可能性。4 使用秘钥认证的方式登录在客户端上生成公钥和私钥将公钥发送给需要远程的服务端在输入一次正确的密码之后后续再次远程则不需要用到密码登录。 由于第一个密码自主性比较强这里就不做第一个方法的演示下面的几个方法一起来看看怎么设置吧。
二. 参考实例
2.1 修改端口号
#ssh配置文件
vim /etc/ssh/sshd_config修改的是第17行的端口信息这里有个方法ssh默认端口是22可以将17行的信息复制一行在18行进行修改这里把端口修改成2222。 修改完之后一定要记得重启服务
systemctl restart sshd可以使用扫描端口的工具看下
[rootlocalhost ~]# nmap 127.0.0.1Starting Nmap 6.40 ( http://nmap.org ) at 2023-03-05 11:44 CST
Nmap scan report for VM-12-17-centos (127.0.0.1)
Host is up (0.0000050s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
21/tcp open ftp
2222/tcp open EtherNet/IP-1
3306/tcp open mysql
9050/tcp open tor-socks端口扫描并没有显示到 ssh的服务信息若多开放几个端口就能起到迷惑性让对方不知道是使用什么端口远程的。
2.2 赋予其他用户超级权限
vim /etc/passwd
先将root用户设置成系统用户并且不能进行远程登录 这里直接新增一个用户再给一个普通用户超级权限修改UID和GID
[rootlocalhost ~]# useradd -s /bin/bash test
[rootlocalhost ~]# vim /etc/passwd这里可以测试下修改完后是否具有root用户的权限可以尝试去打开shadow文件。
[rootlocalhost ~]# su - test
上一次登录日 3月 5 11:41:13 CST 2023:0 上
ABRT has detected 1 problem(s). For more info run: abrt-cli list
[rootlocalhost ~]# pwd
/home/test
[rootlocalhost ~]# tail -2 /etc/shadow
mysql:!!:19420::::::
test:!!:19421:0:99999:7:::2.3 使用秘钥认证
先在本地使用ssh-keygen命令生成公钥和私钥文件,-t表示选择秘钥的类型-b表示指定长度这里选择长度是4096。
[rootlocalhost ~]# ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory /root/.ssh.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:Mq/1yY0jDdMsw9DNQIUgS0mDKXxkPpxSXXg24inkl44 rootlocalhost.localdomain
The keys randomart image is:
---[RSA 4096]----
|. .B*..o. |
|..BoB o |
| oo *.. |
| .o.. . o |
| ooSo |
| E . * o |
| o* |
| o.oo |
| . ... |
----[SHA256]-----
[rootlocalhost ~]# ll /root/.ssh/
总用量 12
-rw-------. 1 root root 3243 3月 5 12:17 id_rsa
-rw-r--r--. 1 root root 752 3月 5 12:17 id_rsa.pub这里有几个信息分别是 输入保存秘钥的文件默认是放在/root/.ssh_rsa,如果不指定其他位置直接按回车即可。 创建目录默认是/root/.ssh这个目录不指定的话也是直接按enter。 输入秘钥的密码这里默认也不设置按回车毕竟都使用秘钥了就不想每次远程服务器又要输入一次密码了。 再次输入相同的密码这里也直接按回车吧 您的身份信息保证在/root/.ssh/id_rsa中 公钥已保存在/root/.ssh/id_rsa.pub中 秘钥的指纹为 RSA 4096那张图就是这个秘钥的指纹了可以看出来是很复杂的。 以上都是在客户端上设置的下一步是将公钥发送到服务器上面 这里又要使用一个命令ssh-copy-id.
#ip填写要远程服务器的IP
[rootlocalhost ~]# ssh-copy-id root192.168.196.23 公钥发送过去后就可以直接使用ssh远程登录
[rootlocalhost ~]# ssh 192.168.196.23
Last login: Sun Mar 5 12:24:28 2023 from 192.168.196.166
[rootnode1 ~]# 无须输入密码即可远程登录这个就是秘钥登录的优势了。
三. 使用Fail2ban软件
fail2ban是一款安全保护工具,触发限制后会创建防火墙规则封锁IP,诸如对ssh暴力破解、ftp/http密码穷举等场景提供强有力的保护。 1.这里会使用到两台虚拟机做测试分别是 192.168.196.166、192.168.196.23 2.需要用到iptables和ssh服务
3.2 安装Fail2ban
这个程序默认是未安装的需要先安装好epel源再安装这个程序
yum install epel-release -y
yum install fail2ban -y3.2 修改配置文件服务端进行
配置文件的位置在
/etc/fail2ban/jail.conf这里填写如下信息
[rootlocalhost fail2ban]# vim jail.conf
[rootlocalhost fail2ban]# tail -10 jail.conf
[ssh-iptables] #用到的服务
enabled true #开机自动启用服务
filter sshd #添加动作是sshd
action iptables[nameSSH,portssh,protocoltcp]
logpath /var/log/secure #要监控的站点日志文件
#这三个代表的是 将5分钟内频繁访问失败3次的IP屏蔽3600秒
maxretry 3 #设定失败次数
findtime 300 #一定时间内
bantime 3600 #屏蔽多长时间重启服务
systemctl restart fail2ban.service systemctl enable fail2ban.service以上的都是在服务端进行的
3.3测试远程登录客户端
这里测试登录失败次数超过三次后会提示什么
[rootnode1 ~]# ssh 192.168.196.166
root192.168.196.166s password: Permission denied, please try again.
root192.168.196.166s password: Permission denied, please try again.
root192.168.196.166s password: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
[rootnode1 ~]# ssh 192.168.196.166 ssh: connect to host 192.168.196.166 port 22: Connection refused
[rootnode1 ~]#
[rootnode1 ~]# ssh 192.168.196.166 ssh: connect to host 192.168.196.166 port 22: Connection refused [rootnode1 ~]# ssh 192.168.196.166 ssh: connect to host 192.168.196.166 port 22: Connection refused 测试过后显示连接失败以上配置是已经成功了
3.4 查看有哪些IP被拉入黑名单(服务端
1 [rootlocalhost fail2ban]# iptables -L -n | tail
2 Chain IN_public_log (1 references)
3 target prot opt source destination
4
5 Chain OUTPUT_direct (1 references)
6 target prot opt source destination
7
8 Chain f2b-SSH (1 references)
9 target prot opt source destination
REJECT all -- 192.168.196.23 0.0.0.0/0 reject-with icmp-portunreachable
10
11 RETURN all -- 0.0.0.0/0 0.0.0.0/0
12
13 [rootlocalhost fail2ban]# fail2ban-client status
14 Status
|- Number of jail: 1 15
- Jail list: ssh-iptables 16
17 [rootlocalhost fail2ban]# fail2ban-client status ssh-iptables
18 Status for the jail: ssh-iptables
19 |- Filter
20 | |- Currently failed: 0
| |- Total failed: 6 21
| - File list: /var/log/secure 22
23 - Actions
24 |- Currently banned: 1|- Total banned: 2 25- Banned IP list: 192.168.196.23如果不慎是其他认识的人登录失败了可以使用以下方式将他移除黑名单
[rootlocalhost fail2ban]# fail2ban-client set ssh-iptables unbanip 192.168.196.23总结
防止暴力破解的内容就是这么多了当然也可以通过脚本的方式来屏蔽一段时间频繁访问的IP若觉得以上内容还行的可以点赞支持一下
