前些時(shí)談了一下如何屏蔽對(duì)網(wǎng)站服務(wù)器的掃描,屬于前臺(tái)防御����。后來 Felix 發(fā)了一篇 blog 提到將多次嘗試 SSH 登錄失敗的 IP ban 掉,才想起來去看一下日志�,沒想到后院起火了。
查看日志文件:
$ sudo cat /var/log/auth.log
沒想到滿屏滿屏的往下刷���,全是:
$ sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
470 222.122.52.150
411 123.15.36.218
139 177.8.168.48
20 74.81.83.226
18 77.108.112.131
2 95.58.255.62
1 218.28.79.228
1 188.132.163.154
很明顯我禁用了 root 登錄���,人家也不是那么笨,開始暴力猜用戶名:
$ sudo grep "Failed password for invalid user" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more
3190 218.28.79.228
646 222.122.52.150
172 123.15.36.218
65 177.8.168.48
4 222.76.211.149
某個(gè)人嘗試了 3000 多次�,好吧,lovelucy 這個(gè)小博客真有那么 valuable 么��。���。為了防范于未然���,我們可以做些配置���,讓 VPS 服務(wù)器更加安全。
1���、修改 SSH 端口,禁止 root 登陸
修改/etc/ssh/sshd_config文件
$ sudo vi /etc/ssh/sshd_config
Port 4484 #一個(gè)別人猜不到的端口號(hào)
PermitRootLogin no
$ sudo /etc/init.d/ssh restart
2�、禁用密碼登陸����,使用 RSA 私鑰登錄
Amazon EC2 服務(wù)器本來就是只允許使用私鑰登錄的����,但是這樣的話我如果想在別的電腦上臨時(shí) SSH 上來,又沒帶私鑰文件的情況下���,就很麻煩����。所以我又手動(dòng)開啟了密碼驗(yàn)證登錄���。不管怎樣�,這一條還是先列出來吧�����!
# 在客戶端生成密鑰
$ ssh-keygen -t rsa
# 把公鑰拷貝至服務(wù)器
$ ssh-copy-id -i .ssh/id_rsa.pub server
# 也可以手動(dòng)將.shh/id_rsa.pub拷貝至服務(wù)器用戶目錄的.ssh中�,記得修改訪問權(quán)限
# $ scp .shh/id_rsa.pub server:~/.ssh
# 在服務(wù)器中
$ cd ./.ssh/
$ mv id_rsa.pub authorized_keys
$ chmod 400 authorized_keys
$ vi /etc/ssh/sshd_config
RSAAuthentication yes #RSA認(rèn)證
PubkeyAuthentication yes #開啟公鑰驗(yàn)證
AuthorizedKeysFile .ssh/authorized_keys #驗(yàn)證文件路徑
PasswordAuthentication no #禁止密碼認(rèn)證
PermitEmptyPasswords no #禁止空密碼
UsePAM no #禁用PAM
# 最后保存���,重啟
$ sudo /etc/init.d/ssh restart
3、安裝denyhosts
這個(gè)方法比較省時(shí)省力�。denyhosts 是 Python 語言寫的一個(gè)程序�,它會(huì)分析 sshd 的日志文件,當(dāng)發(fā)現(xiàn)重復(fù)的失敗登錄時(shí)就會(huì)記錄 IP 到 /etc/hosts.deny 文件�����,從而達(dá)到自動(dòng)屏 IP 的功能����。這和我之前介紹的自動(dòng)屏蔽掃描的腳本 是一個(gè)思路���。如果靠人工手動(dòng)添加的話還不把人累死。現(xiàn)今 denyhosts 在各個(gè)發(fā)行版軟件倉(cāng)庫(kù)里都有�,而且也不需要過多配置����,傻瓜易用�����。
安裝:
# Debian/Ubuntu:
$ sudo apt-get install denyhosts
# RedHat/CentOS
$ yum install denyhosts
# Archlinux
$ yaourt denyhosts
# Gentoo
$ emerge -av denyhosts
默認(rèn)配置就能很好的工作��,如要個(gè)性化設(shè)置可以修改 /etc/denyhosts.conf:
$ vi /etc/denyhosts.conf
SECURE_LOG = /var/log/auth.log #ssh 日志文件,它是根據(jù)這個(gè)文件來判斷的�����。
HOSTS_DENY = /etc/hosts.deny #控制用戶登陸的文件
PURGE_DENY = #過多久后清除已經(jīng)禁止的�����,空表示永遠(yuǎn)不解禁
BLOCK_SERVICE = sshd #禁止的服務(wù)名�,如還要添加其他服務(wù),只需添加逗號(hào)跟上相應(yīng)的服務(wù)即可
DENY_THRESHOLD_INVALID = 5 #允許無效用戶失敗的次數(shù)
DENY_THRESHOLD_VALID = 10 #允許普通用戶登陸失敗的次數(shù)
DENY_THRESHOLD_ROOT = 1 #允許root登陸失敗的次數(shù)
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts #運(yùn)行目錄
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES #是否進(jìn)行域名反解析
LOCK_FILE = /var/run/denyhosts.pid #程序的進(jìn)程ID
ADMIN_EMAIL = root@localhost #管理員郵件地址,它會(huì)給管理員發(fā)郵件
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts nobody@localhost>
SMTP_SUBJECT = DenyHosts Report
AGE_RESET_VALID=5d #用戶的登錄失敗計(jì)數(shù)會(huì)在多久以后重置為0�����,(h表示小時(shí),d表示天��,m表示月�,w表示周�,y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
RESET_ON_SUCCESS = yes #如果一個(gè)ip登陸成功后���,失敗的登陸計(jì)數(shù)是否重置為0
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
DAEMON_SLEEP = 30s #當(dāng)以后臺(tái)方式運(yùn)行時(shí),每讀一次日志文件的時(shí)間間隔����。
DAEMON_PURGE = 1h #當(dāng)以后臺(tái)方式運(yùn)行時(shí),清除機(jī)制在 HOSTS_DENY 中終止舊條目的時(shí)間間隔,這個(gè)會(huì)影響PURGE_DENY的間隔���。
查看我的 /etc/hosts.deny 文件發(fā)現(xiàn)里面已經(jīng)有 8 條記錄。
