ssh配置密钥对无交互登录、防止暴力破解、xinetd服务

原创 2016年08月30日 10:48:30

设置ssh密钥对无交互登录

1、客户端上生成密钥对

ssh-keygen

2、发布公钥到服务端

ssh-copy-id -i /root/.ssh/id-rsa.pub root@192.168.1.10

3.在客户端 ssh @root@192.168.1.10 即可实现无交互登录


安装fail2ban防止暴力破解

1、安装,可参照README.md文件

tar xvfj fail2ban-0.8.12.tar.bz2
cd fail2ban-0.8.12
python setup.py install


2、生成启动脚本

[root@fan_client_10 fail2ban-0.8.14]# cp file/redhat-initd /etc/init.d/fail2ban


3、配置文件

[root@fan_client_10 fail2ban-0.8.14]# ls /etc/fail2ban/
action.d  fail2ban.conf  fail2ban.d  filter.d  jail.conf  jail.d

/etc/fail2ban/action.d #动作文件夹,内含默认文件。iptables以及mail等动作配置

/etc/fail2ban/fail2ban.conf   #定义了fai2ban日志级别、日志位置及sock文件位置

/etc/fail2ban/filter.d                    #条件文件夹,内含默认文件。过滤日志关键内容设置

/etc/fail2ban/jail.conf    #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值  


4、实例:

设置条件:ssh远程登录5分钟内3次密码验证失败,禁止用户IP访问主机1小时,1小时该限制自动解除,用户可重新登录。

添加对sshd服务的检查设置

[sshd]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=ssh, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"]
logpath  = /var/log/secure
maxretry = 3
findtime = 600
bantime = 3600


4、启动服务

service fail2ban start  


5、测试

密码输入3次错误


查看防火墙:


新添了一条规则


查看failed2ban工作状态

[root@fan_client_10 fail2ban]# fail2ban-client status
Status
|- Number of jail:    1
`- Jail list:        sshd
[root@fan_client_10 fail2ban]#



xinetd 超级互联网守护进程(telnet tftprsync)

xinetd(eXtended InterNETservices daemon)  扩展因特网服务守护进程

作用: 通过xinetd服务来管理一些功能简单小服务。如: telnet、rsync、 tftp服务等。并为这些服务提供安全访问控制功能。

1、安装

[root@fan_client_10 ~]# yum -y install xinetd


2、配置文件

[root@fan_client_10 ~]# ls /etc/xinetd.conf
/etc/xinetd.conf

[root@fan_client_10 ~]# grep include /etc/xinetd.conf  --color
includedir /etc/xinetd.d                                                                                主配置文件中这行表示加载配置文件时,还会再加载/etc/xinetd.d目录中的配置文件

xinetd的主配置文件常用设置项:

#vim /etc/xinetd.conf

#      no_access        =      不能访问xinetd管理的那些服务的……

#      only_from        =      只能从……访问xinetd管理服务

(IP、192.168.10.0、192.168.18.0/24、.example.com)

         cps            = 50 10     超过50个连接时,暂停10秒

         instances      = 50        同时最大连接数

         per_source     = 10        同一来源的最大连接数

#       bind            = IP        监听IP(在哪个IP上提供服务)


安装被xinetd管理的那些服务:

[root@fan_client_10 ~]#yum -y installtelnet-server tftp-server rsync


启动rsync服务

[root@fan_client_10 ~]#vim /etc/xinetd.d/rsync

设置disabled=no

no意为启用这一项

启动服务:

[root@fan_client_10 ~]#service xinetd restart

停止 xinetd:                                              [确定]

正在启动 xinetd:                                          [确定]

如何判断rsync服务已经启动?

[root@fan_client_10 ~]# vim /etc/services

rsync           873/tcp                         # rsync

rsync           873/udp                         # rsync

[root@fan_client_10 ~]# netstat -anptu | grep 873

tcp       0      0 :::873                      :::*                        LISTEN      44960/xinetd

 

另一种启动服务的方法:

 vim /etc/xinetd.d/rsync

设置disabled = no

[root@fan_client_10 ~]# chkconfig rsync on               #开启rsync服务

[root@fan_client_10 ~]# service xinetd restart

停止 xinetd:                                              [确定]

正在启动 xinetd:                                          [确定]

查看服务启动状态

[root@fan_client_10 ~]# netstat -anptu | grep 873

tcp       0      0 :::873                      :::*                        LISTEN      44988/xinetd


telnet

1、安装telnet服务

服务端:

[root@fan_client_10 Packages]# yum -y install telnet-server

[root@fan_client_10 Packages]# vim /etc/xinetd.d/telnet

设置disabled = no

[root@fan_client_10 Packages]# service xinetd restart


客户端:[root@fan_client_40 Packages]# rpm -ivh ./telnet-0.17-47.el6_3.1.x86_64.rpm

[root@fan_client_40 Packages]# telnet 192.168.1.10
Trying 192.168.1.10...
Connected to 192.168.1.10.
Escape character is '^]'.
Red Hat Enterprise Linux Server release 6.5 (Santiago)
Kernel 2.6.32-431.el6.x86_64 on an x86_64
login: fantc
Password:
Last login: Mon Aug 29 02:01:49 from 192.168.1.40
[fantc@fan_client_10 ~]$


相关文章推荐

denyhost防止SSH暴力破解

  • 2009年08月18日 09:57
  • 53KB
  • 下载

利用fail2ban防止ssh暴力破解

实验要求:设置公司服务器远程访问条件,远程登录在五分钟之内如果出现三次密码验证失败,禁止用户ip访问主机,一小时后恢复访问。...

Linux----利用hosts.deny 防止暴力破解ssh

一、ssh暴力破解   利用专业的破解程序,配合密码字典、登陆用户名,尝试登陆服务器,来进行破解密码,此方法,虽慢,但却很有效果。 二、暴力破解演示 2.1.基础环境:2台linux主机(cen...
  • damys
  • damys
  • 2016年05月04日 09:41
  • 1665

Ubuntu安装denyhosts防止暴力破解远程SSH

Ubuntu安装denyhosts防止暴力破解远程SSH ZDNet 系统安全 来源: zdnet整理 2011年07月03日 评论(0) 关键词: 系统安全 linux安全 ...
  • keyunq
  • keyunq
  • 2011年12月27日 11:41
  • 971

iptables防止ssh 暴力破解

最近在IBM 免费提供的Bluemix虚拟机上玩shadowsocks代理,查看日志的时候无意间发现很多坏蛋在暴力破解我的ssh,真是用心良苦,俺可是用的key来登录哦,那我也要阻止一下这种行为,一开...

Fail2ban 防止暴力破解centos服务器的SSH或者FTP账户

第一次将CentOS服务器配上外网可访问的网络配置,发现每次通过外网地址登陆ssh,链接时间长,同时爆出以下信息,显示从上一次登陆成功到本次登陆成功,中间有3896次尝试登陆root账户失败的情况。【...

linux服务篇-sshd服务管理与防止暴力破解

sshd服务管理与防止暴力破解 sshd服务安装-ssh命令使用方法 sshd服务配置和管理 防止sshd服务暴力破解的几种方法 (一)sshd服务安装-ssh命令使用方法1.介绍SSH 协议【安全外...

部署DenyHosts防SSH暴力破解

[root@bjmxy-opensips-x86v-app01 ~]# ldd /usr/sbin/sshd  linux-vdso.so.1 =>  (0x00007fff3d1ff000)  ...

shell脚本防ssh/vsftpd暴力破解

#!/bin/bash LIMIT=10 LOGFILE="/var/log/block_ssh.log" TIME=$(date '+%b %e %H') BLOCK_IP=$(grep "$TI...

防暴力破解SSH/FTP/SMTP用户密码----fail2ban操作实务

防暴力破解SSH/FTP/SMTP用户密码----fail2ban操作实务 在debian下以邮件服务器为例进行说明   一、邮件服务器现状 1、邮件服务器mail.warn 日志中每天大...
  • xuyaqun
  • xuyaqun
  • 2011年11月30日 16:49
  • 5165
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ssh配置密钥对无交互登录、防止暴力破解、xinetd服务
举报原因:
原因补充:

(最多只允许输入30个字)