Linux主机安全加固方法&使用开源软件fail2ban防护主机

目录

• 常见的三种加固措施
• 一、主机基础安全加固（方法一）
  • • 1、密码足够的复杂
    • 2、修改sh默认端口号
    • 3、禁止 root 远程登录
    • 4、Linux主机黑白名单限制远程连接地址
    • 5、服务器之间通过密钥免密登录
    • 6、使用密钥并禁止使用密码登录服务器
    • 7、通过云平台的安全组限制远程登陆的ip
• 二、使用开源软件fail2ban加固主机安全（方法二）
  • 优点：
  • 原理：
  • 场景说明：
  • 下载软件包：
  • 应用实例：

常见的三种加固措施

方法一：主机基础安全加固
方法二：通过开源软件加固主机安全
方法三：通过安全产品加固（略过）

一、主机基础安全加固（方法一）

以下七种基础安全加固方法可根据自己需求进行配置加固

1、密码足够的复杂

密码的长度要大于 8 位最好大于 20 位。密码的复杂度是密码要尽可能有数字、大小写字母和特殊符号混合组成。

2、修改sh默认端口号

vim /etc/ssh/sshd_config #修改sshd配置文件

修改此行 
	# Port 22 
改为：
	# Port xxx  #自己定义其它端口
ESC :wq 保存退出

重启sshd服务：

systemctl restart sshd

3、禁止 root 远程登录

不允许 root 账号直接登陆到系统，需添加一个普通账号，并授予权限加入到wheel组，使用普通账号先远程登录到系统，再使用sudo执行命令或使用命令su - root 切换到 root 用户环境
操作步骤：
① 修改sshd配置文件
vim /etc/ssh/sshd_config

#PermitRootLogin yes
PermitRootLogin no  #删除 # 号并改为no
ESC :wq  保存退出

重启服务：

systemctl restart sshd

② 创建一个用于远程的用户xxx(不要设置admin，user1....等常见的默认账户名，很容易被猜测到)

useradd  rhxjhf  # 创建新用户
passwd   rhxjhf  # 给此用户设置密码

③ 把此用户加入到wheel组（相当于系统管理员组） #如果不加入普通用户无法切换到root账户

usermod -G wheel  rhxjhf  # 把rhxjhf用户加入到 wheel管理员组
id rhxjhf   # 查看此用户的信息，及是否加到了wheel组

④ 使用新用户远程到服务器，然后使用su - root 输入root密码后即可切换root用户环境

4、Linux主机黑白名单限制远程连接地址

白名单：/etc/hosts.allow
黑名单：/etc/hosts.deny

如只想自己常用地址远程连接到服务器，配置方法如下：
① 先在白名单中添加一行允许自己的ip
vim /etc/hosts.allow

sshd:  104.152.xx.xxx      # ip为自己的公网出口ip，有多个即添加多个即可

② 在黑名单文件中添加拒绝所有即可，格式如下（也可使用平台的安全组限制源IP地址）
vim /etc/hosts.deny #添加如下一行即可

sshd:  ALL

无需重启服务立即生效

5、服务器之间通过密钥免密登录

操作环境：

服务端：cloud-host1 IP：192.168.1.63
客户端：cloud-host2 IP：192.168.2.64

5.1 客户端生成密钥对，然后把公钥传输到服务端

[root@cloud-host2 ~]# ssh-keygen     #执行
Generating public/private rsa key pair.
#生成公共/私有 rsa 密钥对。
Enter file in which to save the key (/root/.ssh/id_rsa):
#输入保存密钥的文件（/root/.ssh/id\u rsa）：
Enter passphrase (empty for no passphrase):
#输入密码短语（无密码短语为空）：
Enter same passphrase again:
#再次输入相同的密码短语：
Your identification has been saved in /root/.ssh/id_rsa. 私钥
#您的标识已保存在/root/.ssh/id_rsa 中。
Your public key has been saved in /root/.ssh/id_rsa.pub. 公钥
#您的公钥已保存在/root/.ssh/id_rsa.pub 中。 The key fingerprint is:
#关键指纹是： SHA256:toCXv2xpFWsS6ClyN1sAKPIyup7VEdaQLKJH/tD+EZk root@bogon The key's randomart image is:
#钥匙的随机图像是：
+---[RSA 2048]----+
|  ....	|
|o.o..oo	|
|o=...+ =	|
|+ = o.E.. .	|
|.+ +.o++S. o	|
|. . *.B+o.+	|
| . + = =o=	|
|. o  o.+.	|
|.o	oo	|
+----[SHA256]-----+
[root@cloud-host2 ~]# cd /root/.ssh/ 
[root@cloud-host2 .ssh]# ls
id_rsa  id_rsa.pub known_hosts
id_rsa(私钥)；id_rsa.put(公钥)；

5.2 把公钥文件传到服务端
使用 ssh-copy-id 命令将客户端生成的公钥发布到远程服务器 192.168.1.63 cloud-host1。

[root@cloud-host2 .ssh]# ssh-copy-id -i 192.168.1.63
The authenticity of host '192.168.1.63(192.168.1.63)' can't be established.

RSA key fingerprint is d9:17:d7:db:38:7c:e8:56:9c:4b:7e:00:7f:9e:1c:74.
Are you sure you want to continue connecting (yes/no)? yes	##### 输入yes 
Warning: Permanently added '192.168.1.64' (RSA) to the list of known hosts. root@192.168.1.63's password:	#### 输入 192.168.1.63 主机登录密码。
Now try logging into the machine, with "ssh '192.168.1.63'", and check in:
.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting
#这个时候可以通过 ssh 无密钥直接登陆主机
注意：如果服务器不是监听 22 端口，则需要指定端口传输密钥：
[root@cloud-host2 .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 222 root@192.168.1.63
Number of key(s) added: 1 添加的键数,
秘钥一般存放在 /root/.ssh/authorized_keys
传输完成后再次连接服务端就不需要输入密码了

6、使用密钥并禁止使用密码登录服务器

① 先按步骤5执行ssh-keygen生成密钥
② 在服务器上安装公钥

cd ~/.ssh/
#把公钥文件内容输出到authorized_keys此文件中
cat id_rsa.pub >> authorized_keys 

③ 到此就完成了公钥的安装，请保证以下文件权限正确，权限过大启动sshd服务就会报错

chmod 600 authorized_keys
chmod 700 ~/.ssh

④ 设置 SSH，打开密钥登录功能
编辑 /etc/ssh/sshd_config 文件，进行如下设置：

RSAAuthentication yes
PubkeyAuthentication yes

⑤ 请留意 root 用户能否通过 SSH 登录：（如果为no也是不能登录的）

PermitRootLogin yes

⑥ 当你完成全部设置，并以密钥方式登录成功后，再禁用密码登录选项：

PasswordAuthentication  no

保存退出
重启服务：

systemctl restart sshd

⑦ 下载私钥文件到本地电脑中，如果没有sz命令则执行以下命令安装上传下载工具

yum install lrzsz -y
sz  id_rsa    # sz下载私钥文件

再次连接服务器就会看见密码栏为灰色，只能使用刚刚从服务器上下载的密钥登录

7、通过云平台的安全组限制远程登陆的ip

二、使用开源软件fail2ban加固主机安全（方法二）

优点：

使用简单、灵活、功能强大（此功能需要配合iptables使用）

原理：

通过调用iptables等安全策略来达到放暴力破解的目的！

场景说明：

使用云主机对外提供的公网网站一直被别人暴力破解 SSHD 服务密码。虽然没有成功，但会导致系统负载很高，原因是在暴力破解的时候，系统会不断地认证用户，从而增加了系统资源额外开销，导致访问公司网站速度很慢。
然而fail2ban 程序可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是防火墙），而且可以发送 e-mail 通知系统管理员，很实用、很强大！
简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志，将满足动作的相关IP 利用 iptables 加入到 dorp 列表一定时间。

下载软件包：

官方地址：http://www.fail2ban.org 如图

图 1-7 fail2ban 官网
fail2ban 程序下载地址：http://www.fail2ban.org/wiki/index.php/Downloads 如图

图 1-8 fail2ban 程序下载
注意：以上展示 fail2ban 的源码包下载，以下实验使用 yum 安装。

安装配置：
需要安装 python 开发环境，并且版本要大于 2.4。

[root@cloud-host1 ~]# python -V
Python 2.6.6

使用 yum 安装 fail2ban

[root@cloud-host1 ~]# y um -y install epel-release 
[root@cloud-host1 ~]#  yum -y install fail2ban

相关主要文件说明

ls /etc/fail2ban/
........
/etc/fail2ban/action.d
/etc/fail2ban/fail2ban.conf
/etc/fail2ban/filter.d
/etc/fail2ban/jail.conf

应用实例：

设置条件：SSH 远程登录 5 分钟内 3 次密码验证失败，禁止用户 IP 访问主机 1 小时，1 小时该限制自动解除，用户可重新登录。
因为动作文件（action.d/iptables.conf）以及日志匹配条件文件（filter.d/sshd.conf ）安装后是默认存在的。基本不用做任何修改。所有主要需要设置的就只有 jail.conf 文件。启用SSHD 服务的日志分析，指定动作阀值即可。

1、配置文件：/etc/fail2ban/jail.conf 及说明如下：

[root@cloud-host1 ~]# vim /etc/fail2ban/jail.conf
[DEFAULT]	#全局设置
ignoreip =	  #忽略的 IP 列表,不受设置限制。 
bantime  = 10m		#屏蔽时间，单位：秒。
findtime  = 10m		#这个时间段内超过规定次数会被 ban 掉。 maxretry = 5	#最大尝试次数。
backend = auto	#日志修改检测机制（gamin、polling 和 auto 这三种）。

[sshd]	#单个服务检查设置，如设置 bantime、findtime、maxretry 和全局冲突，服务
优先级大于全局设置。
port	= ssh	279 行 
logpath = %(sshd_log)s 
backend = %(sshd_backend)s

#加入如下内容
enabled  = true	#是否激活此项（true/false）修改成 true。
filter = sshd	#过滤规则 filter 的名字，对应 filter.d 目录下的 sshd.conf。 
action = iptables[name=SSH, port=ssh, protocol=tcp]	#动作的相关参数，对应action.d/iptables.conf 文件。
sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"]	#触发报警的收件人。可写可不写 根据自己需要
logpath = /var/log/secure	#检测的系统的登陆日志文件。这里要写 sshd 服务日志文件。
默认为 logpath = /var/log/sshd.log（在 centos8 当中需要删除默认的 ssh 区域 logpath 选项） 。

#5 分钟内 3 次密码验证失败，禁止用户 IP 访问主机 1 小时。 配置如下。 (按需修改)
bantime = 3600    #禁止用户 IP 访问主机 1 小时。
findtime = 300     #在 5 分钟内内出现规定次数就开始工作。 
maxretry = 3       #3 次密码验证失败。

2、配置内容如下图:

3、启动服务

[root@cloud-host1 ~]# systemctl start fail2ban	# 启动fail2ban服务
[root@cloud-host1 ~]# systemctl enable fail2ban	# 设置开机自动启动

[root@cloud-host1 ~]# > /var/log/secure	# 清空日志内容
[root@cloud-host1 fail2ban]# systemctl restart fail2ban	#重启 fail2ban 服务

4、测试

测试：故意输入错误密码 3 次，再进行登录时，会拒绝登录。 
[root@cloud-host2 ~]# ssh 192.168.1.63
root@192.168.1.63's password:	#故意输入错误密码。 
Permission denied, please try again.
root@192.168.1.63's password:	#故意输入错误密码。 
Permission denied, please try again.
root@192.168.1.63's password:	#故意输入错误密码。 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
[root@cloud-host2 ~]# ssh 192.168.1.63
ssh: connect to host 192.168.1.63 port 22: Connection refused

5、然后我们检测下 fail2ban是否工作。

[root@cloud-host1 ~]# fail2ban-client status
Status
|- Number of jail:   1
`- Jail list:	sshd	#具体看某一项的状态也可以看，如果显示被 ban 的ip 和数目就表示成功了，如果都是 0，说明没有成功。

[root@cloud-host1 ~]# fail2ban-client status sshd 
Status for the jail: sshd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	0
|  `- Journal matches:	_SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned:   1
|- Total banned:  1
`- Banned IP list: 192.168.1.64

查看 fail2ban 的日志能够看到相关的信息。

[root@cloud-host1 ~]# tail /var/log/fail2ban.log
2018-11-07 16:11:01,476 fail2ban.actions	[27932]: NOTICE  [sshd] Ban 192.168.1.64

需要注意的两点：

1、如果后期需要把 iptables 清空后或 iptables 重启后，也需要把 fail2ban 重启一下
2、如果修改 ssh 默认端口 22 为 2015 后，配置 fail2ban 来监控 SSHD 服务需要修改配置文件
例：

[root@cloud-host1 ~]# vim /etc/ssh/sshd_config
改 17 #Port 22
为 17 Port 2015
[root@cloud-host1 ~]# systemctl restart sshd 
[root@cloud-host1 ~]# vim /etc/fail2ban/jail.conf
#修改 iptables 动作中的端口号，默认为 SSH，如图 1-11 所示。
改：port=ssh
为  port=2015

修改 fail2ban 监听 SSH 端口重启服务即可

systemctl restart fail2ban

误操作自己的ip被加入黑名单，则可以手动移除自己的ip
fail2ban 从黑名单中移除 IP 的方法：

fail2ban-client set sshd unbanip 192.168.1.6