拒绝ssh远程暴力破解

拒绝ssh远程暴力破解

简介

在网络技术日益发展的今天，网络上的安全问题日益严重。当你在公网上使用Linux服务器时，颇有可能你的服务器正在遭受ssh暴力破解。

曾经有一次个人同伴将给客户提供监控服务的服务器架设在公共网络上，同时设置了弱密码。没过一天，客户的内网出现了严重的问题。咱们用了一夜在研究网络上的问题，结果最后发现就是由于这台新建立的服务器致使客户内网瘫痪，而服务器是被黑客经过ssh暴力破解进入并植入了ARP攻击的病毒工具。

因此对于服务器最为基本的远程登陆进行保护，每每反而是最重要的，也是最容易被新手们忽略的。

如何判断本身正在遭受ssh暴力破解

ssh登陆服务器后使用lastb命令，命令会显示最近错误登陆的日志，包括经过ssh服务错误登陆的日志。

admin ssh:notty191.201.86.105 Thu May 3 05:11 - 05:11 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:11 - 05:11 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:11 - 05:11 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)

若是获得和我上方显示差很少的状况，出现大量的输出说明你的服务器正在遭受黑客们的暴力破解。

如何防范暴力破解

方法一：修改远程登陆端口

修改/etc/ssh/sshd_config文件中的Port 将前方的#注释删除，并将22修改成你想要使用远程登陆的端口，例如54231。

在防火墙上添加运行端口：
iptables -I INPUT -p tcp --dport 54231 -j ACCEPT

若是您使用的ubuntu系统并使用ufw，可使用命令：sudo ufw allow 54231

若是您使用CentOS7系统并使用firewalld,可使用命令：
firewall-cmd --zone=public --add-port=54231/tcp --permanent

若是是使用云服务器，云服务商有提供外部防火墙，例如阿里云的安全组的状况下还要在外部的安全组中修改容许tcp端口54231端口的策略。

最后使用serivce sshd restart重启sshd服务便可。

CentOS7用户使用systemctl restart sshd。

重启服务以后登陆服务器都须要输入指定的远程端口才可以登陆服务器，大大下降了黑客攻击服务器的几率。

方法二：限制登陆IP

若是你的公司或者经常须要登陆服务器的工做网络环境拥有固定的IP地址时，限制登陆IP地址就能够很好的保护服务器免受黑客攻击。若是没有上述的条件，咱们也能够经过搭建堡垒机，将全部服务器都设置为容许堡垒机的IP地址登陆便可保护您的服务器。

操做起来至关简单，首先在/etc/hosts.allow中加入以下信息：

sshd:172.16.*.*

这条信息表示sshd服务容许向IP地址为172.16开头的IP地址提供服务。

其次在/etc/hosts.deny中加入以下信息：

sshd:all:deny

这条信息表示sshd服务不容许向全部IP地址提供服务。

如此一来服务器将只有指定的IP地址能够访问。

方法三：使用非root用户登陆

禁止root用户登陆而且设置容许其余用户登陆后切换至root进行操做。这样黑客若是想要经过ssh登陆服务器除了密码以外首先他还须要知道服务器容许登陆的用户，这样将大大下降黑客攻破ssh的可能性。

首先，在服务器内建立一个用户，learntop:useradd learntop
而且设置密码：passwd learntop ,固然密码须要尽可能复杂。

接下来咱们须要容许此用户可以以root用户身份运行命令。
使用visudo命令进入文本编辑模式，于92行附近

## Syntax:
##
## user MACHINE=COMMANDS
##
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
learntop ALL=(ALL) NOPASSWD:ALL

添加红色字体信息："ALL=(ALL) NOPASSWD:ALL"，保存退出后能够验证一下。

[root@localhost ~]#visudo
[root@localhost ~]# su learntop
[learntop@localhost root]$ sudo su -
Last login: Tue May 22 12:55:36 CST 2018 on pts/1
[root@localhost ~]#whoami
root

首先使用su learntop切换至learntop用户,接下来咱们可使用sudo su -命令切换到root用户。

一样咱们也能够经过远程登陆方式验证，使用ssh客户端以learntop用户登陆系统后，再使用sudo su -命令进行切换。

在设置能够经过learntop用户登陆系统并可以自由切换至管理员用户操做后，咱们须要禁止root用户经过远程方式登陆系统。

在/etc/ssh/sshd_config文件内添加“PermitRootLoginno”，后重启sshd服务。启动后，root用户就将没法经过ssh服务直接链接到服务器。

 

固然除此以外还有许多能够限制黑客经过ssh暴力破解登陆服务器的方法。例如使用密钥登陆服务器等。但保护整个业务系统的安全最为重要的不是几个技术点，而是在结构设计的时候就预先考虑到安全的因素，例如不须要向公网提供服务的服务器就不设置公网IP地址，配置安全可靠的堡垒机。