记录一下,某天使用ssh方式登录linux服务器,服务器报警提示多次登录失败,╮(╯▽╰)╭,截图没有保存下来
博主是CentOS 8 不使用hosts.allow 和hosts.deny的方式,也可以使用防火墙firewall的方式(请自行查阅资料)
CentOS 7 可以推荐使用hosts.allow 和hosts.deny的方式
- 使用 lastb命令查看
-
查看secure文件,使用命令
less /var/log/secure
-
判断
从以上数据来看(截图只是部分),攻击者通过不同的ip和用户以及端口来尝试使用ssh 用户密码验证的方式登录服务器。ssh爆破无疑了。最开始博主只分配了两个账号,修改了ssh端口和添加对应两个账号的公钥,同时开放root直接登录和密码验证功能,不限制ip登录,简单的分配了下用户权限。
-
防御
vim /etc/ssh/sshd_config
PermitRootLogin no 禁止root用户直接登录(设置前请确保其他用户有权限切换root)
PasswordAuthentication no 禁止密码验证登录
AllowUsers xxx@127.0.0.1 指定用户xxx从指定ip登录(127.0.0.1本地,可根据实际调整,这里仅起演示作用) -
根据对应linux系统本重启sshd服务
systemctl restart sshd
-
补充(linux默认支持的优先级)
DenyUsers > AllowUsers > DenyGroups > AllowGroups