SSH访问控制,多次失败登录即封掉IP,防止暴力破解

于 2024-04-30 18:13:22 发布
阅读量699 收藏 19
点赞数 13
分类专栏: LINUX 文章标签: 服务器 linux git
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eagle89/article/details/138353464
版权

如何统计出系统中谁在破解你的密码及破解的次数(分析/var/log/secure)

分析/var/log/secure的IP地址 计算次数 并格式化输出 
[root@template ~]# cat /var/log/secure|awk -F "[ :]+" '{ip[$14]=ip[$14]+1} END{for (item in ip) {printf "%-20s %-s \n",item,ip[item] }}'

一、系统:CentOS 6.3 64位

二、方法:读取/var/log/secure,查找关键字 Failed,例如(注:文中的IP地址特意做了删减):

Sep 17 09:08:09 localhost sshd[29087]: Failed password for root from 13.7.3.6 port 44367 ssh2 Sep 17 09:08:20 localhost sshd[29087]: Failed password for root from 13.7.3.6 port 44367 ssh2 Sep 17 09:10:02 localhost sshd[29223]: Failed password for root from 13.7.3.6 port 56482 ssh2 Sep 17 09:10:14 localhost sshd[29223]: Failed password for root from 13.7.3.6 port 56482 ssh2

从这些行中提取IP地址,如果次数达到5次则将该IP写到 /etc/hosts.deny中。

三、步骤:

1、先把始终允许的IP填入 /etc/hosts.allow ,这很重要!比如: sshd:19.16.18.1:allow sshd:19.16.18.2:allow

2、脚本 /root/secure_ssh.sh

#! /bin/bash cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /root/black.txt DEFINE="5" for i in `cat  /root/black.txt` do   IP=`echo $i |awk -F= '{print $1}'`   NUM=`echo $i|awk -F= '{print $2}'`   if [ $NUM -gt $DEFINE ];then     grep $IP /etc/hosts.deny > /dev/null       if [ $? -gt 0 ];then           echo "sshd:$IP:deny" >> /etc/hosts.deny       fi     fi done

3、将secure_ssh.sh脚本放入cron计划任务,每1分钟执行一次。 # crontab -e */1 * * * *  sh /root/secure_ssh.sh

四、测试:

1、开两个终端窗口,一个ssh连上服务器,另一个用错误的密码连接服务器几次。

很快,服务器上黑名单文件里已经有记录了: [root@ ~]# $ cat /root/black.txt 13.26.21.27=3

再看看服务器上的hosts.deny [root@ ~]# cat /etc/hosts.deny sshd:13.7.3.6:deny sshd:92.4.0.4:deny sshd:94.10.4.2:deny sshd:94.4.1.6:deny sshd:11.64.11.5:deny

2、从另一个终端窗口继续“暴力”连接服务器

看看服务器上的黑名单文件: [root@ ~]# cat black.txt 13.26.21.27=6

再看看服务器上的hosts.deny [root@ ~]# cat /etc/hosts.deny sshd:13.7.3.6:deny sshd:92.4.0.4:deny sshd:94.10.4.2:deny sshd:94.4.1.6:deny sshd:11.64.11.5:deny sshd:13.26.21.27:deny

IP 已经被加入到服务器的hosts.deny,再用正确的密码连接服务器,被拒绝: $ ssh root@myserver.mydomain.com -p 2333 ssh_exchange_identification: Connection closed by remote host

注: 1.脚本为同事编写。

2.服务器sshd端口已改为2333,事实证明,改了端口后,暴力破解的ssh连接数锐减。

 分析安全日志
/var/log/secure
定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][09]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort nr
定位有多少IP在爆破主机的root帐号:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
access_log
查看 IP
[root@localhost logs]# cat access_log | awk '{print $1}'
显示访问前10 位的IP 地址,便于查找攻击源
[root@localhost logs]# cat access_log|awk '{print $1}'|sort|uniq -c|sort -nr|head -10
显示指定时间以后的日志
[root@localhost logs]# cat access_log |awk '$4>="[1/Jan/2020:00:00:00"'
查看某一时间内的 IP 连接情况
[root@localhost logs]# grep "2020:05"access_log |awk '{print $4}'|sort|uniq –c |sort -nr
查看指定的 IP 做了什么
[root@localhost logs]# cat access_log |grep 192.168.3.3| awk '{print $1"\t"$8}'| sort|uniq –c |sort –nr|less
查看最近访问量最高的文件
[root@localhost logs]# cat access_log |tail 10000| awk '{print $7}'| sort|uniq –c |sort –nr|less
 

shell-将密码输入错误超过4次的IP地址通过firewalld防火墙阻止访问

应用场景:防止恶意IP尝试ssh登录
脚本说明:将密码输入错误超过四次得ip地址通过iptable防火墙访问。
分析:
首先,需要知道ssh远程访问记录在哪一个文件中  /var/log/secure
其次,模拟远程访问输错密码,查看日志文件
再次,通过日志可以看到关键信息“Failed password”表示错误密码有可能事手误引起得,所以设定几次错误为恶意试探密码,建议设置为4;还有需要将恶意试探密码主机得ip提取出来,对提取得ip地址进行统计计数
最后,需要明确怎么在脚本中通过iptables策略设置阻止恶意ip访问策略添加到哪里合适;防火墙2配置文件等。
模拟远程访问,查看日志


发现每一次错误密码后,显示主机ip时前都有 Failed password
所以我还可以借助Failed password字段来获取 恶意访问ip。二ip在倒数第三个字段(以空格为分隔符)
awk '/Failed password/ {print $(NF-3)}' /var/log/secure


设定4次错误为恶意试探密码,并提取得ip地址进行统计计数
首先我没需要将恶意IP地址进行统计
[root@cotenos ~]# awk  '/Failed password/ {IP[$(NF-3)]++} END{for (i in IP) print i,IP[i]}' /var/log/secure


对超过4次的错误的ip进行选取
[root@cotenos ~]# awk  '/Failed password/ {IP[$(NF-3)]++} END{for (i in IP) {if ($IP[i] >= 4)  print i,IP[i]}}' /var/log/secure


或者
[root@cotenos ~]# awk '/Failed password/ {print $(NF-3)}' /var/log/secure | sort | uniq -c | awk '$1>=4 {print $2}'


最后将获取的ip遍历,使用firewalld-cmd命令对ip进行阻隔
总代码
#!/bin/bash
bath=/var/log/secure
 
ip=`awk '/Failed password/ {IP[$(NF-3)]++} END{for (i in IP) {if ($IP[i] >= 4) print i}}' $bath`
for i in $ip
do
        firewall-cmd --add-rich-rule="rule family=ipv4 source address=$i/32 service name=ssh dorp"
 
done
 

jerry-89
关注
  • 13
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux用户自动输入密码,Linux中shell脚本如何自动输入密码
Aysen的博客
04-29 939
shell脚本在处理自动循环或大的任务方面可节省大量的时间,通过创建一个处理任务的命令清单,使用变量、条件、算术和循环等方法快速创建脚本以完成相应工作,这比在命令行下一个个敲入命令要省时省力得多。但是有时候我们可能会需要实现和交互程序如ftp,telnet服务器等进行交互的功能,这时候我们需要用到shell的自动交互功能.最简单的例子就是创建用户,我创建100个用户,初始密码为123,那么要是挨着...
linux 防止ssh暴力破解的方法
11-13
生产中使用的linux 防止ssh暴力破解的方法有需要的拿去。
shell-将密码输入错误超过4次的IP地址通过firewalld防火墙阻止访问
小孙的博客
01-17 1444
应用场景:防止恶意IP尝试ssh登录脚本说明:将密码输入错误超过四次得ip地址通过iptable防火墙访问。
Linux ssh登录密码尝试错误次数限制/普通账号解锁/登录错误次数查看
m0_51195633的博客
02-27 883
Linux ssh登录密码错误次数限制/普通账号解锁/登录错误次数查看
多次输入密码错误,导致的xshell连接linux服务器被拒绝
chuan_zyc的博客
04-16 3312
起因:之前一直是正常连接的,因为长时间没有用,密码忘记了,多次输错密码之后,不再出现登录的界面,出现了下图的提示: 我使用的是百度云,在百度云控制台登录linux后,使用systemctl status sshd,看到拒绝了多个ip的连接,之前使用了很多网上的办法都不管用,最后在修改配置的时候,偶然间发现一个文件sshd.deny.hosteye,打开之后发现里面都是ip地址,猜想有可...
Linux防止暴力破解密码脚本
qianfeng_dashuju的博客
10-20 901
1.认识记录linux记录安全的日志 [root@testpm ~]# cd /var/log/ [root@testpm log]# ls | grep secure secure 2.该日志的内容查看 [root@testpm log]# tail -f secure #表示ssh身份验证失败 Aug 29 23:35:03 testpm sshd[111245]: pam_unix(sshd:auth): authentication failure; logname= uid=0 ..
ssh防止暴力破解和xinetd超级服务的使用
01-29
ssh防止暴力破解和xinetd超级服务的使用,非常不错的,可以配置提升安全
bash脚本防止ssh暴力破解.txt
07-23
用bash脚本和黑名单白名单来防止一些简单的ssh暴力破解
shell脚本设置防止暴力破解ssh.docx
07-10
shell脚本设置访问控制多次失败登录封掉IP防止暴力破解ssh 当发现某一台主机向服务器进行SSH远程管理,在10分钟内输错密码3次,使用firewalld进行响应, 禁止此IP再次连接,6个小时候后再次允许连接。
SSH密码暴力破解及防御实战
11-30
太狠了吧,SSH密码暴力破解及防御实战,注意安全了,下载学习
ssh错误 Failed password for
lipei_csdn的博客
03-20 8750
登录一直被拒接,检查sshd的状态如下: 后来尝试用普通用户登录,发现可以成功登录,也就是root用户不能登录, 所以,修改ssh配置,加入PermitRootLogin yes ,重启sshd,root用户成功登录
shell 脚本:检查密码,如果用户三次输入密码均错误,则退出脚本
云飞-技术让你走的更远
05-14 2546
[root@ceph-node1 shell]# cat check_passwd_num.sh #!/bin/bash #check user passwd,set the number can be retrying NUM=3 PASSWD=jack SUM=0 while true do read -p "please input your passwd: " pass SUM=$((SUM+1)) if [ $pass == $PASSWD ];then echo "you are righ..
shell脚本代码如何屏蔽IP访问网站centos7
jimbooks的博客
09-02 1311
本信息转载网站: 更多资讯请到网站sky8g网了解更多 如果浏览不顺畅请到原文章出处:https://www.sky8g.com/technology/203/ 请注意可能会提示风险,这是CSDN网站设置的问题,如果文章内的链接不是他们的网址,都会对用户提示有风险,请点击继续访问,本网站全部文章为免费技术分享,请放心访问,无需担心。 请点击此处查看完整文章:https://www.sky8...
arch linux 密码正确也无法用root登录ssh 提示 Failed password for root from x.x.x.x port xxxx ssh2解决办法
热门推荐
wengek的博客
12-25 1万+
arch linux 无法以root登录ssh解决办法1.检查sshd2.添加用户添加sudo root权限附安装sshd 1.检查sshd 先停止sshd 在启用控制台消息的情况下运行它,以便查看实时运行的日志。 systemctl stop sshd /usr/sbin/sshd -De -f /etc/ssh/sshd_config 如果登录的时候linux控制台提示: Failed password for root from x.x.x.x portxxxx ssh2 那就对了,我找过各种配置
Linux入侵检测命令
weixin_44839866的博客
08-27 212
网络连接:netstat -antlp 查看CPU占用率:top 查看操作命令中的相关信息:history | grep xmrig 查看登陆信息:last 失败的登陆信息:lastb 查看是否存在其它特权用户: awk -F: '$3==0{print $1}' /etc/passwd 黑客爆破shh服务的次数 grep -o "Failed password" /var/log/secure | uniq -c 第一次爆破时间or最后一次爆破时间 grep "Failed password" ...
linux需要输入2次密码,求救:修改密码的时候需要输入4次才成功
weixin_42140710的博客
04-29 692
ouzhijun 于 2011-09-26 09:03:50发表:结果如下,请诊断:$ aliasalias +='pushd .'alias -='popd'alias ..='cd ..'alias ...='cd ../..'alias beep='echo -en "\007"'alias cd..='cd ..'alias dir='ls -l'alias l='ls -alF'ali...
多次登录失败导致的账户锁定,ssh无法登录处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 5311
【问题描述】 因项目中同时用普通用户登录ssh服务器时,密码过期尝试登录次数过多,找到我们运维处理,经过对用户修改密码,并测试账户本地可以正常登录,但测试xshell进行ssh登录失败,检查账户并未处于锁定状态。 【问题分析】 1、账户未锁定:passwd -s 用户名 usermod -S 用户名 2、xshell用该账户登录,远程主机本地查看ssh服务状态,看到用户不在pam_tally2里,...
将密码输入错误超过4次的IP地址通过iptables防火墙阻止访问
weixin_52681985的博客
01-07 623
将密码输入错误超过4次的IP地址通过iptables防火墙阻止访问
linux ssh访问控制
最新发布
03-27
Linux SSH访问控制是指通过配置SSH服务器,限制哪些用户可以通过SSH协议远程登录服务器,并且可以进一步限制用户的权限和操作。下面是一些常见的Linux SSH访问控制方法: 1. 使用防火墙:可以使用iptables或者firewalld等防火墙工具,限制SSH服务只能从特定的IP地址或者IP地址段进行访问。 2. 修改SSH配置文件:可以通过修改SSH服务器的配置文件(通常是/etc/ssh/sshd_config),来限制SSH登录的用户和权限。以下是一些常见的配置选项: - AllowUsers:指定允许登录的用户列表,其他用户将被拒绝访问。 - DenyUsers:指定禁止登录的用户列表,其他用户将被允许访问。 - AllowGroups:指定允许登录的用户组列表,属于其他用户组的用户将被拒绝访问。 - DenyGroups:指定禁止登录的用户组列表,属于其他用户组的用户将被允许访问。 - PermitRootLogin:设置是否允许root用户通过SSH登录,建议禁止root登录以增加安全性。 3. 使用密钥认证:可以使用SSH密钥对进行认证,而不是使用密码。这种方式更加安全,可以通过配置文件(通常是~/.ssh/authorized_keys)来指定允许使用哪些密钥进行登录。 4. 使用限制登录shell:可以通过修改用户的登录shell,限制用户只能执行特定的命令或者脚本。例如,可以将用户的登录shell设置为/bin/false或者/sbin/nologin,这样用户只能通过SSH登录,但无法执行其他操作。 5. 使用PAM模块:可以使用PAM(Pluggable Authentication Modules)模块来对SSH登录进行更加细粒度的控制。通过配置PAM模块,可以实现诸如限制登录时间、限制登录次数、强制使用二次认证等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值