linux增加SSH日志及防止SSH暴力破解

已于 2022-03-01 14:31:15 修改
阅读量3.6k 收藏 3
点赞数 2
分类专栏: centos 文章标签: linux 系统安全
于 2021-10-20 11:37:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/handonch/article/details/120862961
版权

参考

linux装SSH服务以及防止SSH暴力破解_keil_wang的博客-CSDN博客

ssh访问控制,多次失败登录即封掉IP,防止暴力破解_Alves的博客-CSDN博客

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.2021-1-27.bak

vi /etc/ssh/sshd_config

修改

LogLevel INFO

SyslogFacility AUTHPRIV  #日志级别

cp /etc/rsyslog.conf /etc/rsyslog.conf.2021-1-27.bak

vi /etc/rsyslog.conf

修改

auth,authpriv.* /var/log/secure

重启sshd服务

service sshd restart

查看日志

tail -f /var/log/secure

准备执行脚本ssh_pervent.sh ,必须在linux下/home/blackIP/编辑,windows下可能出现未知问题,不能运行

#! /bin/bash

cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /home/blackIP/black.txt

DEFINE="10"

for i in `cat /home/blackIP/black.txt`

do

IP=`echo $i |awk -F= '{print $1}'`

NUM=`echo $i|awk -F= '{print $2}'`

if [ $NUM -gt $DEFINE ];

then

grep $IP /etc/hosts.deny > /dev/null

if [ $? -gt 0 ];

then

echo "sshd:$IP" >> /etc/hosts.deny

fi

fi

done

将文件放在/home/blackIP/目录下,

授予执行权限

chmod 755 ssh_pervent.sh

新建black.txt,然后   

./ssh_pervent.sh

手动执行一次,没有报错,

cat black.txt

查看执行结果

cat /etc/hosts.deny

查看执行结果,大于10次的,被记在下边

加入linux定时任务,每10分钟执行一次脚本

执行

crontab -e

出现如下页面,把 */10 * * * * /home/blackIP/ssh_pervent.sh 加进去,

隔一段时间后观察一下

cat /etc/hosts.deny

是否增加了很多IP

然后观察

tail -f /var/log/secure

如果都是这样证明没成功

hosts.deny配置无效,其他IP还是可以登陆成功。

解决方法如下:

hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是,该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。

查看某服务(如ssh)是否应用了libwrapped库文件的方法是:

# ldd /usr/sbin/sshd |grep libwrap.so.0

没有显示,表示此服务器上安装的SSH没有应用libwrapped库文件,也就不能用tcp_Wrappers防火墙控制访问策略。(一般情况下服务器默认安装的SSH都是支持libwrapped库文件,这台服务器不清楚为什么不支持)

最终解决方法是重新安装SSH。

# yum -y remove openssh

# yum -y install openssh

# yum -y install openssh-server

安装完成后再次查看是否应用了libwrapped库文件,显示支持。

# ldd /usr/sbin/sshd |grep libwrap.so.0

   libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f3fb7f09000)

再测试SSH登陆,配置生效。

请务必保留此出处hosts.allow、hosts.deny配置不生效的解决方法_75clouds_51CTO博客

然后观察

tail -f /var/log/secure

如下表示最终成功

refused connect from 112.196.74.82 (112.196.74.82)

或者这个,(这个有时候不起作用)

1、在起效果机器下,执行如下命令:

[root@zt ~]# ldd /usr/sbin/sshd | grep libwrap.so

        libwrap.so.0 => /lib64/libwrap.so.0 (0x00002ba28edcc000)

2、在不起效果机器下,却找不到libwrap.so

3、在生效的机器上执行:

rpm -qf /lib64/libwrap.so.0  结果如下:

      tcp_wrappers-7.6-40.7.el5

4、在不生效的机器上

yum install -y tcp_wrappers

安装后,用ldd /usr/sbin/sshd | grep libwrap.so   还是没有内容

5、在不生效机器上,继续

yum list |grep openssh   结果:

openssh.x86_64                          5.3p2-24.el5           installed

openssh-clients.x86_64                   5.3p2-24.el5           installed

openssh-server.x86_64                    5.3p2-24.el5           installed

openssh.x86_64                           5.3p2-41.el5_5.1       updates

openssh-askpass.x86_64                   5.3p2-41.el5_5.1       updates

openssh-clients.x86_64                   5.3p2-41.el5_5.1       updates

openssh-server.x86_64                    5.3p2-41.el5_5.1       updates

于是,执行:

yum update -y openssh 

再次执行:

ldd /usr/sbin/sshd | grep libwrap.so

有结果显示了。

别的服务器链接该服务器,也会报下面的错误

ssh_exchange_identification: Connection closed by remote host

handonch
关注
专栏目录
阿里云服务器使用教程:Linux上预防SSH暴力破解及恶意登录软件DenyHost的安装教程
蓝多多的小仓库
03-30 879
目录1、前言2、DenyHosts简介3、安装与启动4、参数简介5、可能报错 近期发现每天都会有多条SSH登录失败纪录,一查IP发现几乎都是国外IP(如图),它们试图猜测SSH登录口令来恶意登录自己的服务器。因此为了服务器安全,需将这些IP自动加入到/etc/hosts.deny文件中。 DenyHosts是Python语言写的一个程序软件,运行于Linux上预防SSH暴力破解的,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/et
如何检测ssh暴力破解
魔都虫师的博客
03-05 169
如何检测ssh暴力破解
SSH的操作日志
07-31
NULL 博文链接:https://gojava1.iteye.com/blog/1019859
kinux查日志_linux下怎么查看ssh的用户登录日志
weixin_39601642的博客
12-30 371
linux下登录日志在下面的目录里:cd /var/log查看ssh用户的登录日志:less securelinux日志管理:1. 日志简介日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到***时***者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。在Linux系统中,有三个主要的日志子系统:...
自搭靶机实现SSH爆破复现记录
最新发布
2301_79155654的博客
09-01 721
计算得组合可能为781,514,782,079,074,318,841,757,344种,需要消耗极大的计算资源,所以我们需要继续配置字典策略。获取关键字:设定场景我们已知靶机账户名,从账户名中获得关键字target,Target,Kali,kali,结合常见字段获得字典。介于密码一般长度,我们设置一组常用字典,包含常用组合和数字,然后组合三次,预计对于n组关键字的字典,能产生n。创建 了一个新的Kali虚拟机作为靶机,使用原本的Kali作为攻击机。初始我们认为靶机密码为5到15位,包含大小写字符和数字。
Linux服务器ssh登录,查看登录日志
热门推荐
lailaiquququ11的博客
10-29 7万+
  网络上的服务器很容易受到攻击,最惨的就是被人登录并拿到root权限。有几个简单的防御措施: 1. 修改ssh服务的默认端口。 ssh服务的默认端口是22,一般的恶意用户也往往扫描或尝试连接22端口。所以第一步就是修改这个默认端口 打开/etc/ssh/sshd_config,找到 Port 22 然后将22修改为其它没有被占用的端口,如1022。最好在1-1024之间,防止与用户进程端口冲...
ssh日志审计_linux查看ssh用户登录日志与操作日志
weixin_30140093的博客
01-17 5656
本文章来给各位同学介绍一下关于linux查看ssh用户登录日志与操作日志,登录日志只要在linux中就可以查看了,如果是操作日志我们需要自己先增加,然后再可以直接查看了,下面我都举了实例说明。ssh用户登录日志linux下登录日志在下面的目录里:代码如下cd /var/log查看ssh用户的登录日志:代码如下less secure1. 日志简介日志对于安全来说,非常重要,他记录了系统每天发生的各种...
查看linux ssh登陆日志记录
u010674101的专栏
07-07 9193
要查看Linux用户是使用密钥登录还是密码登录,可以通过检查系统日志文件来获取相关信息。在CentOS 7系统中,系统日志通常存储在/var/log目录下,主要包括secure日志文件。通过查看secure日志文件,您可以了解到用户是否使用密钥登录或密码登录。请注意,如果日志文件被定期清理或轮转,部分日志可能会被删除或移动到其他位置。
SSH暴力攻击Linux常用防护检测命令
weixin_43878826的博客
04-22 491
SSH暴力攻击Linux常用防护检测命令 A、系统账号情况 1、除root之外,是否还有其它特权用户(uid 为0) [root@localhost ~]# awk -F: ‘$3==0{print $1}’ /etc/passwd root ​ 2、可以远程登录的帐号信息 [root@localhost ~]# awk ‘/$1|$6/{print $1}’ /etc/shadow root:$638cKfZDjsTiUe58V38cKfZDjsTiUe58V38cKfZDjsTiUe58VFP.UHWM
使用 Fail2ban 防止 ssh 暴力破解攻击
三成的博客
09-20 1445
安全防护
centos7查看linux的系统日志和行为日志以及配置安全防护暴力破解之一
没刮胡子的程序员专栏
08-12 461
在CentOS 7中,查看Linux的系统日志和行为日志以及配置安全是一个重要的管理任务。
利用ssh滚动输出日志
12-12
之前项目中简单实现ssh方式打印日志
/var/log目录下的20个Linux日志文件功能详解
weixin_34413065的博客
02-16 723
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。 以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。 /var/log/me...
linux ssh 日志 登录检查
xing
01-12 2万+
ssh
Linux--ssh基本指令与日志查看
Artisan_w
08-17 6220
1、强制登录-t 表示 Force pseudo-tty allocation,2、ssh连接到其他端口SSH 默认连接到目标主机的 22 端口上,可以使用-p选项指定端口号3、使用ssh在远程主机执行一条命令并显示到本地, 然后继续本地工作直接连接并在后面加上要执行的命令就可以了4、在远程主机运行一个图形界面的程序使用ssh的-X选项,然后主机就会开启 X11 转发功能5、如何配置 SSH
4,SSH 日志
sagima_sdu的博客
07-16 387
SSH 在服务器端可以生成日志,记录登录当前服务器的情况。SSH 日志是写在系统日志当中的,查看的时候需要从系统日志里面找到跟 SSH 相关的记录。
linux 下记录ssh的操作日志
小懿大侠的专栏
04-09 4410
ssh name@x.x.x.x  | tee -a log.log tee可以读取标准输入输出的数据,将其写到文件中。
构建SSH框架日志系统
12-12 5791
完善的Web应用需要有完善的日志系统的支持,日志系统在项目的跟踪调试过程中发挥着重要作用。Struts,Spring和Hibernate均提供了自己的日志框架,有效地配置日志系统在项目开发过程中占据着一定的比重。本文简要介绍SSH框架的日志系统和相关配置,以方便日常项目的开发。Struts 2的日志系统Struts使用commons logging来封装其日志系统,JCL(
Linux查看SSH用户登陆日志
小诸葛的博客
10-22 1万+
https://blog.csdn.net/shanzhizi/article/details/50233643
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值