Linux如何防止SSH暴力破解
短信预约 -IT技能 免费直播动态提醒
这篇文章将为大家详细讲解有关Linux如何防止SSH暴力破解,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。
SSH暴力破解是指攻击者通过密码字典或随机组合密码的方式尝试登陆服务器(针对的是全网机器),这种攻击行为一般不会有明确攻击目标,多数是通过扫描软件直接扫描整个广播域或网段。
1、禁止root登录
修改sshd服务器端的配置文件/etc/ssh/sshd_config
[root@vps ~]$ vi /etc/ssh/sshd_config---------------配置如下----------------PermitRootLogin no重启 [root@vps ~]$ service sshd restart2、修改 SSH 默认端口
修改SSH默认端口号,sshd服务器端的配置文件为 /etc/ssh_config
[root@vps ~]$ vi /etc/ssh/sshd_config---------------配置如下----------------Port 2280重启SSH[root@vps ~]$ systemctl restart sshd查看状态[root@vps ~]$ systemctl status sshd查看端口是否更改[root@vps ~]$ netstat -ntlp | grep 2280tcp 0 0 0.0.0.0:2280 0.0.0.0:* LISTEN 8793/sshd tcp6 0 0 :::2280 :::* LISTEN 8793/sshd3、根据secure文件中失败的ip次数做限制
当同一个IP地址超过5次的尝试,那么就加入/etc/hosts.deny
#! /bin/bash# 提取所有的IP到black.list文件中cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list# 设定次数define="5"for i in `cat /usr/local/bin/black.list`do IP=`echo $i |awk -F= '{print $1}'` NUM=`echo $i|awk -F= '{print $2}'` if [ $NUM -gt $define]; then grep $IP /etc/hosts.deny > /dev/null if [ $? -gt 0 ];then echo "sshd:$IP:deny" >> /etc/hosts.deny fi fidone添加计划任务。
[root@vps ~]$ crontab -e# 每3分钟检查一次*/3 * * * * sh /usr/local/bin/secure_ssh.sh重启 crontab[root@vps ~]$ systemctl restart crond关于“Linux如何防止SSH暴力破解”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
