拒絕ssh遠程暴力破解

拒絕ssh遠程暴力破解

簡介

在網絡技術日益發展的今天，網絡上的安全問題日益嚴重。當你在公網上使用Linux服務器時，頗有可能你的服務器正在遭受ssh暴力破解。

曾經有一次個人同伴將給客戶提供監控服務的服務器架設在公共網絡上，同時設置了弱密碼。沒過一天，客戶的內網出現了嚴重的問題。咱們用了一夜在研究網絡上的問題，結果最後發現就是由於這臺新建立的服務器致使客戶內網癱瘓，而服務器是被黑客經過ssh暴力破解進入並植入了ARP攻擊的病毒工具。

因此對於服務器最爲基本的遠程登陸進行保護，每每反而是最重要的，也是最容易被新手們忽略的。

如何判斷本身正在遭受ssh暴力破解

ssh登陸服務器後使用lastb命令，命令會顯示最近錯誤登陸的日誌，包括經過ssh服務錯誤登陸的日誌。

admin ssh:notty191.201.86.105 Thu May 3 05:11 - 05:11 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:11 - 05:11 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:11 - 05:11 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
admin ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:10 - 05:10 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:09 - 05:09 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)
root ssh:notty 191.201.86.105 Thu May 3 05:08 - 05:08 (00:00)

若是獲得和我上方顯示差很少的狀況，出現大量的輸出說明你的服務器正在遭受黑客們的暴力破解。

如何防範暴力破解

方法一：修改遠程登陸端口

修改/etc/ssh/sshd_config文件中的Port 將前方的#註釋刪除，並將22修改成你想要使用遠程登陸的端口，例如54231。

在防火牆上添加運行端口：
iptables -I INPUT -p tcp --dport 54231 -j ACCEPT

若是您使用的ubuntu系統並使用ufw，可使用命令：sudo ufw allow 54231

若是您使用CentOS7系統並使用firewalld,可使用命令：
firewall-cmd --zone=public --add-port=54231/tcp --permanent

若是是使用雲服務器，雲服務商有提供外部防火牆，例如阿里雲的安全組的狀況下還要在外部的安全組中修改容許tcp端口54231端口的策略。

最後使用serivce sshd restart重啓sshd服務便可。

CentOS7用戶使用systemctl restart sshd。

重啓服務以後登陸服務器都須要輸入指定的遠程端口才可以登陸服務器，大大下降了黑客攻擊服務器的機率。

方法二：限制登陸IP

若是你的公司或者經常須要登陸服務器的工做網絡環境擁有固定的IP地址時，限制登陸IP地址就能夠很好的保護服務器免受黑客攻擊。若是沒有上述的條件，咱們也能夠經過搭建堡壘機，將全部服務器都設置爲容許堡壘機的IP地址登陸便可保護您的服務器。

操做起來至關簡單，首先在/etc/hosts.allow中加入以下信息：

sshd:172.16.*.*

這條信息表示sshd服務容許向IP地址爲172.16開頭的IP地址提供服務。

其次在/etc/hosts.deny中加入以下信息：

sshd:all:deny

這條信息表示sshd服務不容許向全部IP地址提供服務。

如此一來服務器將只有指定的IP地址能夠訪問。

方法三：使用非root用戶登陸

禁止root用戶登陸而且設置容許其餘用戶登陸後切換至root進行操做。這樣黑客若是想要經過ssh登陸服務器除了密碼以外首先他還須要知道服務器容許登陸的用戶，這樣將大大下降黑客攻破ssh的可能性。

首先，在服務器內建立一個用戶，learntop:useradd learntop
而且設置密碼：passwd learntop ,固然密碼須要儘可能複雜。

接下來咱們須要容許此用戶可以以root用戶身份運行命令。
使用visudo命令進入文本編輯模式，於92行附近

## Syntax:
##
## user MACHINE=COMMANDS
##
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
learntop ALL=(ALL) NOPASSWD:ALL

添加紅色字體信息："ALL=(ALL) NOPASSWD:ALL"，保存退出後能夠驗證一下。

[root@localhost ~]#visudo
[root@localhost ~]# su learntop
[learntop@localhost root]$ sudo su -
Last login: Tue May 22 12:55:36 CST 2018 on pts/1
[root@localhost ~]#whoami
root

首先使用su learntop切換至learntop用戶,接下來咱們可使用sudo su -命令切換到root用戶。

一樣咱們也能夠經過遠程登陸方式驗證，使用ssh客戶端以learntop用戶登陸系統後，再使用sudo su -命令進行切換。

在設置能夠經過learntop用戶登陸系統並可以自由切換至管理員用戶操做後，咱們須要禁止root用戶經過遠程方式登陸系統。

在/etc/ssh/sshd_config文件內添加「PermitRootLoginno」，後重啓sshd服務。啓動後，root用戶就將沒法經過ssh服務直接鏈接到服務器。

 

固然除此以外還有許多能夠限制黑客經過ssh暴力破解登陸服務器的方法。例如使用密鑰登陸服務器等。但保護整個業務系統的安全最爲重要的不是幾個技術點，而是在結構設計的時候就預先考慮到安全的因素，例如不須要向公網提供服務的服務器就不設置公網IP地址，配置安全可靠的堡壘機。