sshd服务---暴力破解应对策略
sshd服务暴力破解步骤
sshd暴力破解方法
防止暴力破解调优
1. 变更默认端口
2. 变更root用户
3. 日志监控-->防止暴力破解(fail2ban应用)
fail2ban详解
在初始化的服务器中,20种ssh服务调优方法!
技术来源于生活!!!
===============================================
第三步:运行暴力破解程序,破解密码
为了防止我们的密码被暴力破解,服务器的密码一定不要使用弱口令!!!而且在企业中,一般会要求半个月或多长时间变更一次密码(公司中运维工程师会要求的)
弱口令:简单的密码,如下:
123456
awp@host
12HLad^
强口令: ---> 密码长度大于8位(最好不少于14位),且有字母 数字 和特殊符号混合构成的高复杂度的字符串
防止暴力破解调优
安装sshd-server
查询服务是否安装:
rpm -qa | grep openssh-server
若没有安装,可使用如下命令进行安装:
yum -y install openssh* #安装所有openssh软件包
通过如下命令,查看openssh生成的文件列表:
rpm -ql openssh
1. 变更默认端口
sshd服务配置文件位于/etc/ssh目录下!
ls /etc/ssh
ssh_config ---> 客户端配置文件
sshd_config ---> 服务器端配置文件
我们修改服务器端文件(别人访问我们时,我们是sshd服务器!!!)
vim /etc/ssh/sshd_config
修改默认端口配置:
#Port 22
改为:
Port 123
保存退出,并重启sshd服务:
service sshd restart
或
/etc/init.d/sshd restart
查看监听端口是否生效:
netstat -anlpt | grep ssh
通过本机远程连接测试!(本机远程连接本机!)本机即使客户端,也是服务端
ssh 192.168.31.222 -p 123 #指定端口远程连接
------------------------------
2. 扫描某IP地址开放端口
nmap 192.168.171.120
这里我发现,当设置ssh开放端口在1000以内是扫描不出来的!!!而且若是指定到其他服务的端口上时,扫描到的服务名称就是该服务的名称!!!
这就是为什么我们要修改端口的意思!!!让别人不知道我们的哪个端口是sshd服务的端口!
------------------------------
编辑/etc/passwd文件,修改如下:
修改:root:x:0:0:root:/root:/bin/bash
为:root:x:0:0:root:/root:/bin/nologin #禁止root用户登录
修改:xg:x:500:500::/home/xg:/bin/bash
为:xg:x:0:0::/home/xg:/bin/bash #普通用户提权
远程连接测试:
root用户连接测试
xg用户连接测试:
另外,改下面内容后,xg用户也是登录不上的。只判断UID是否为0,不查看用户名的:
vim /etc/ssh/sshd_config
改:
#PermitRootLogin yes
为:
PermitRootLogin no
service sshd restart
测试:
ssh xg@192.168.31.222
xg@192.168.31.222's password:
Permission denied, please try again.
一般情况这个就可以解决了暴力破解的问题了。
到目前为止小的暴力破解已经解决了!!!
但是,虽然我们有效的降低了别人破解我们系统的可能性,但是,别人在攻击时,会造成sshd服务器系统资源占用(可能导致瘫痪!)
为有效防止系统资源无辜被占用导致系统缓慢或瘫痪,我们可以使用防火墙!!!---->一般公司不使用防火墙.
我们还可以使用fail2ban软件,实现一些规则的制定!!避免别人恶意攻击服务器造成不必要的损失!
fail2ban ---> 系统日志监控
通过匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,很好 很实用 很强大!
#ban (bæn)禁令
简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志,将满足动作的相关IP利用iptables加入到dorp列表一定时间。
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ROUTER-SSH --update --seconds 1800 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ROUTER-SSH --set -j ACCEPT
两种安装方式
Way 1. yum安装
rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
yum -y install fail2ban
Way 2. 源码安装
下载地址:
http://www.fail2ban.org
尽量使用稳定版本(推荐0.8.14或0.9.4)
下载下来后,怎么安装呢?!
第一步:上传压缩包到虚拟机,并解压
tar -zxf fail2ban-0.8.14.tar.gz -C /usr/src
第二步:查看解压目录下的配置文档
vim /usr/src/fail2ban-0.8.14/README.md
17 Installation:
18 -------------
19
20 **It is possible that Fail2ban is already packaged for your distribution. In
21 this case, you should use it instead.**
22
23 Required:
24 - [Python >= 2.4](http://www.python.org)
25
26 Optional:
27 - [pyinotify >= 0.8.3](https://github.com/seb-m/pyinotify)
28 - Linux >= 2.6.13
29 - [gamin >= 0.0.21](http://www.gnome.org/~veillard/gamin)
30
31 To install, just do:
32
33 tar xvfj fail2ban-0.8.12.tar.bz2
34 cd fail2ban-0.8.12
35 python setup.py install
由配置文档得知,安装本源码程序需要
1. Python版本为2.4或以上
2. pyinotify版本为0.8.3或以上
3. gamin版本为0.0.21或以上
4. Linux内核版本在2.6.13或以上
查看依赖关系已满足条件!
切换到源码文档目录,进行安装,执行如下命令:
python setup.py install
安装完成后,为了便于后期的管理操作,以及添加开机启动等,我们需要将fail2ban启动脚本复制到/etc/init.d目录下. 根据/etc/init.d目录下的文件特点,他们都存在chkconfig配置项,在源码目录中通过grep查找
grep chkconfig ./* -R --color #在当前目录下,查找所有文件中,存在chkconfig字段的文件
cp files/redhat-initd /etc/init.d/fail2ban #拷贝启动脚本到目标位置
chkconfig --add fail2ban #添加开机启动项fail2ban
chkconfig --list fail2ban #查看
------------------------------
2)
echo -e “this is a world \n nest line” |grep word
3)打印除包含 math_pattern 行之外的所有的行
grep -v match_pattern file
4)统计文件或文本中包含匹配字符串的行数:
grep -c “test” filename
5)忽略大小写
echo ”hello world” |grep -I ”HELLO”
------------------------------
/etc/fail2ban/fail2ban.conf #定义了fai2ban日志级别、日志位置及sock文件位置
/etc/fail2ban/filter.d #条件文件夹,内含默认文件。过滤日志关键内容设置
/etc/fail2ban/jail.conf #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值
# jail [dʒeɪl] 监狱
/etc/rc.d/init.d/fail2ban #启动脚本文件
ignoreip = ipaddress/prefix #忽略监控ip
ignoreip = 127.0.0.1/8 10.10.10.0/24 #忽略的IP列表,不受设置限制 如果有二组以上用空白做为间隔
ignorecommand = #忽略命令
bantime = 600 #屏蔽时间,单位:秒(设置IP被封锁的时间)
findtime = 600 #这个时间段内超过规定次数会被ban掉(设定多长时间内达到最大次数就解锁。)
maxretry = 3 #在被ban之前,发生错误的最大次数
backend = auto #日志修改检测机制(pyinotify、gamin、polling和auto这三种)
usedns = warn #yes/warn/no 处理方式
===================================================
[] #剩下的配置信息是模块设置,发送信息等
格式如下:
[ssh-iptables] #ssh配置设置 #单个服务检查设置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置。
enabled = false #是否启用该模块
filter = sshd #监控字符串 过滤规则filter的名字,对应filter.d目录下的sshd.conf
action = iptables[name=SSH, port=ssh, protocol=tcp] #事件
#动作的相关参数,对应action.d/iptables.conf文件 SSH服务名称 ssh端口好 protocol协议
logpath = /var/log/sshd.log #日志文件路径,检测的系统的登陆日志文件。
# 这里要写sshd服务日志文件。
# 默认为logpath = /var/log/sshd.log ,可在/etc/rsyslog.conf文件中查看
# ----- /etc/ssh/sshd_config -----
# 36 #SyslogFacility AUTH
# 37 SyslogFacility AUTHPRIV
# ----- /etc/rsyslog.conf -----
# 44 # The authpriv file has restricted access.
# 45 authpriv.* /var/log/secure
maxretry = 5 #最大错误次数
#5分钟内3次密码验证失败,禁止用户IP访问主机1小时。 配置如下
bantime = 3600 #禁止用户IP访问主机1小时
findtime = 300 #在5分钟内内出现规定次数就开始工作
maxretry = 3 #3次密码验证失败
保存退出后,重启fail2ban服务
/etc/init.d/fail2ban restart #重启服务
ssh远程连接,测试是否生效
ssh 192.168.31.222 -p 123 #故意三次输错密码后,重新连接!
[root@xiaogan120 ~]# ssh 192.168.31.222 -p 123
ssh: connect to host 192.168.31.222 port 123: Connection refused
1. 查看防火墙规则:
iptables -L |tail -4
2. 查看fail2ban状态:
fail2ban-client status
3. 查看fail2ban详情:
fail2ban-client status sshd
4. 查看fail2ban日志文件:
tail /var/log/fail2ban.log
[root@xiaogan120 ~]# iptables -L |tail -4
Chain fail2ban-SSHD (1 references)
target prot opt source destination
REJECT all -- 192.168.31.222 anywhere reject-with icmp-port-unreachable
RETURN all -- anywhere anywhere
[root@xiaogan120 ~]# fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd
[root@xiaogan120 ~]# fail2ban-client status sshd
Status for the jail: sshd
|- filter
| |- File list: /var/log/secure
| |- Currently failed: 0
| `- Total failed: 3
`- action
|- Currently banned: 1
| `- IP list: 192.168.31.222
`- Total banned: 1
[root@xiaogan120 ~]# tail /var/log/fail2ban.log
2016-09-19 18:12:51,624 fail2ban.server [1629]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.14
2016-09-19 18:12:51,624 fail2ban.jail [1629]: INFO Creating new jail 'sshd'
2016-09-19 18:12:51,624 fail2ban.jail [1629]: INFO Jail 'sshd' uses poller
2016-09-19 18:12:51,636 fail2ban.jail [1629]: INFO Initiated 'polling' backend
2016-09-19 18:12:51,637 fail2ban.filter [1629]: INFO Added logfile = /var/log/secure
2016-09-19 18:12:51,637 fail2ban.filter [1629]: INFO Set maxRetry = 3
2016-09-19 18:12:51,638 fail2ban.filter [1629]: INFO Set findtime = 300
2016-09-19 18:12:51,639 fail2ban.actions[1629]: INFO Set banTime = 600
2016-09-19 18:12:51,724 fail2ban.jail [1629]: INFO Jail 'sshd' started
2016-09-19 18:12:52,756 fail2ban.actions[1629]: WARNING [sshd] Ban 192.168.31.222
[root@xiaogan120 ~]#
2. 等待超过时间限制
拓展配置文件:
0.9.4配置文件
ls /etc/fail2ban/
[root@xiaogan121 fail2ban-0.9.4]# ls /etc/fail2ban/
action.d filter.d paths-common.conf paths-freebsd.conf
fail2ban.conf jail.conf paths-debian.conf paths-opensuse.conf
fail2ban.d jail.d paths-fedora.conf paths-osx.conf
[DEFAULT]
bantime = 3600 禁止此用户IP访问主机1小时
findtime = 300在5分钟内内出现规定次数就实施动作,默认时间单位:秒
maxretry = 3密码验证失败次数最大值为3
filter = sshd
protocol = tcp协议为TCP
action = iptables[name=SSH, port=ssh, protocol=tcp] 所采用的工作,按照名字可在action.d目录下找到
[sshd]
port = ssh
logpath = /var/log/secure 检测的系统的登陆日志文件,这里要写sshd服务日志文件的路径
最后保存设置
第二步:上传公有密钥到服务器
ssh-copy-id -i /root/.ssh/id_rsa.pub 192.168.171.121
第三步:尝试远程连接服务器
ssh 192.168.171.121
看到了么?没有输入密码,就直接登录了!!!
-2 强制scp命令使用协议ssh2
-4 强制scp命令只使用IPv4寻址
-6 强制scp命令只使用IPv6寻址
-B 使用批处理模式(传输过程中不询问传输口令或短语)
-C 允许压缩。(将-C标志传递给ssh,从而打开压缩功能)
-p 保留原文件的修改时间,访问时间和访问权限。
-q 不显示传输进度条。
-r 递归复制整个目录。
-v 详细方式显示输出。scp和ssh(1)会显示出整个过程的调试信息。这些信息用于调试连接,验证和配置问题。
-c cipher 以cipher将数据传输进行加密,这个选项将直接传递给ssh。
-F ssh_config 指定一个替代的ssh配置文件,此参数直接传递给ssh。
-i identity_file 从指定文件中读取传输时使用的密钥文件,此参数直接传递给ssh。
-l limit 限定用户所能使用的带宽,以Kbit/s为单位。
-o ssh_option 如果习惯于使用ssh_config(5)中的参数传递方式,
-P port 注意是大写的P, port是指定数据传输用到的端口号
-S program 指定加密传输时所使用的程序。此程序必须能够理解ssh(1)的选项。
4.使用实例:
scp命令的实际应用概述:
从本地服务器复制到远程服务器:
(1) 复制文件:
命令格式:
1). scp local_file remote_username@remote_ip:remote_folder
或者
2). scp local_file remote_username@remote_ip:remote_file
或者
3). scp local_file remote_ip:remote_folder
或者
4). scp local_file remote_ip:remote_file
第1,2个指定了用户名,命令执行后需要输入用户密码,第1个仅指定了远程的目录,文件名字不变,第2个指定了文件名
第3,4个没有指定用户名,命令执行后需要输入用户名和密码,第3个仅指定了远程的目录,文件名字不变,第4个指定了文件名
(2) 复制目录:
命令格式:
1). scp -r local_folder remote_username@remote_ip:remote_folder
或者
2). scp -r local_folder remote_ip:remote_folder
第1个指定了用户名,命令执行后需要输入用户密码;
第2个没有指定用户名,命令执行后需要输入用户名和密码;硬盘I/O非常高,而scp基本不影响系统正常使用。
从远程服务器复制到本地服务器:
从远程复制到本地的scp命令与上面的命令雷同,只要将从本地复制到远程的命令后面2个参数互换顺序就行了。
实例:
scp root@192.168.171.121:/root/fail2ban-0.9.4.tar.gz /root
#已root用户身份,从192.168.171.121拷贝/root/fail2ban-0.9.4.tar.gz文件到/root目录下!
scp /root/sshd_config 192.168.171.121:/root
#拷贝/root/sshd_config文件到192.168.171.121地址/root目录下
#############################################
20种调优方式--->刚建好的服务器?!