Linux SSH 登录失败多少次禁止该IP访问 防止暴力破解

最新推荐文章于 2024-05-25 13:37:07 发布
最新推荐文章于 2024-05-25 13:37:07 发布
阅读量4.3k 收藏 11
点赞数 4
分类专栏: Linux 文章标签: linux ssh tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39726772/article/details/122416559
版权

Linux 系统SSH 登录失败的内容会记录到/var/log/secure文件,通过查找关键字 Failed,可以定位到这些异常的IP地址,比如:

[root@www.cndba.cn ~]# cat /var/log/secure|grep 36.250.229.118
Jan 10 16:54:25 iZbp15upsrdbnwnq3zksepZ sshd[10813]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:25 iZbp15upsrdbnwnq3zksepZ sshd[10813]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:27 iZbp15upsrdbnwnq3zksepZ sshd[10813]: Failed password for root from 103.152.101.235 port 59352 ssh2
Jan 10 16:54:27 iZbp15upsrdbnwnq3zksepZ sshd[10813]: Connection closed by 103.152.101.235 port 59352 [preauth]
Jan 10 16:54:29 iZbp15upsrdbnwnq3zksepZ sshd[10820]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:29 iZbp15upsrdbnwnq3zksepZ sshd[10820]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:31 iZbp15upsrdbnwnq3zksepZ sshd[10820]: Failed password for root from 103.152.101.235 port 60970 ssh2
Jan 10 16:54:31 iZbp15upsrdbnwnq3zksepZ sshd[10820]: Connection closed by 103.152.101.235 port 60970 [preauth]
Jan 10 16:54:33 iZbp15upsrdbnwnq3zksepZ sshd[10825]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:33 iZbp15upsrdbnwnq3zksepZ sshd[10825]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:35 iZbp15upsrdbnwnq3zksepZ sshd[10825]: Failed password for root from 103.152.101.235 port 34445 ssh2
Jan 10 16:54:35 iZbp15upsrdbnwnq3zksepZ sshd[10825]: Connection closed by 103.152.101.235 port 34445 [preauth]
Jan 10 16:54:37 iZbp15upsrdbnwnq3zksepZ sshd[10831]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:37 iZbp15upsrdbnwnq3zksepZ sshd[10831]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:39 iZbp15upsrdbnwnq3zksepZ sshd[10831]: Failed password for root from 103.152.101.235 port 36166 ssh2
Jan 10 16:54:39 iZbp15upsrdbnwnq3zksepZ sshd[10831]: Connection closed by 103.152.101.235 port 36166 [preauth]
Jan 10 16:54:41 iZbp15upsrdbnwnq3zksepZ sshd[10836]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:41 iZbp15upsrdbnwnq3zksepZ sshd[10836]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:43 iZbp15upsrdbnwnq3zksepZ sshd[10836]: Failed password for root from 103.152.101.235 port 37866 ssh2
Jan 10 16:54:43 iZbp15upsrdbnwnq3zksepZ sshd[10836]: Connection closed by 103.152.101.235 port 37866 [preauth]
Jan 10 16:54:45 iZbp15upsrdbnwnq3zksepZ sshd[10841]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:45 iZbp15upsrdbnwnq3zksepZ sshd[10841]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:47 iZbp15upsrdbnwnq3zksepZ sshd[10841]: Failed password for root from 103.152.101.235 port 39832 ssh2
Jan 10 16:54:47 iZbp15upsrdbnwnq3zksepZ sshd[10841]: Connection closed by 103.152.101.235 port 39832 [preauth]
Jan 10 16:54:49 iZbp15upsrdbnwnq3zksepZ sshd[10847]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:49 iZbp15upsrdbnwnq3zksepZ sshd[10847]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:51 iZbp15upsrdbnwnq3zksepZ sshd[10847]: Failed password for root from 103.152.101.235 port 41558 ssh2
Jan 10 16:54:52 iZbp15upsrdbnwnq3zksepZ sshd[10847]: Connection closed by 103.152.101.235 port 41558 [preauth]

比如这里,明显这个IP地址在进行SSH 扫描,不断的更换端口和用户进行暴力测试。

在Linux里面有两个相关的文件:

/etc/hosts.allow: 允许哪些IP访问主机

cat /etc/hosts.allow
sshd:19.16.18.1:allow
sshd:19.16.18.2:allow

/etc/hosts.deny 禁止哪些IP访问主机:

cat /etc/hosts.deny
sshd:13.7.3.6:deny
sshd:92.4.0.4:deny
sshd:94.10.4.2:deny
sshd:94.4.1.6:deny
sshd:11.64.11.5:deny

因此,我们只需要从/var/log/secure文件中提取IP地址,如果次数达到10次则将该IP写到 /etc/hosts.deny中,禁止这些IP访问主机。

脚本如下secure_ssh.sh:

#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /boss/config/black.list
for i in `cat  /boss/config/black.list`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`
  echo $IP=$NUM
  if [ $NUM -gt 10 ]; then
    grep $IP /etc/hosts.deny > /dev/null
    if [ $? -gt 0 ];then
      echo "sshd:$IP:deny" >> /etc/hosts.deny
    fi
  fi
done

将secure_ssh.sh脚本放入cron计划任务,每1小时执行一次。

# crontab -e
0 */1 * * *  sh /usr/local/bin/secure_ssh.sh
@不白
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
pam_succeed_if(sshd:auth): requirement “uid 」= 1000“ not met by user “root“
逐月
07-07 1万+
有下面两种情形: cat /etc/shadow | grep root 查看root用户是否被锁定。如果出现 root:!!$6$CG (注意其中的!!)则说明root用户被锁定,不能登陆。 解决方案: passwd -u root 解除用户锁定。 查看PAM配置文件 /etc/pam.d/login, /etc/pam.d/sshd /etc/pam.d/system-auth中是否有 auth required pam_succeed_if.so uid >= 1000; 修改或者注释该
ssh访问控制,多失败登录即封掉IP防止暴力破解
csdn265的博客
06-27 968
一、系统:Centos6.3 64位 二、方法:读取/var/log/secure,查找关键字 Failed,例如(注:文中的IP地址特意做了删减): Sep 17 09:08:09 localhost sshd[29087]: Failed password for root from13.7.3.6 port 44367 ssh2 Sep 17 09:08:20localhost sshd[29087]: Failed password for root from13.7.3.6 port 4...
Linux防止暴力破解密码脚本
qianfeng_dashuju的博客
10-20 925
1.认识记录linux记录安全的日志 [root@testpm ~]# cd /var/log/ [root@testpm log]# ls | grep secure secure 2.该日志的内容查看 [root@testpm log]# tail -f secure #表示ssh身份验证失败 Aug 29 23:35:03 testpm sshd[111245]: pam_unix(sshd:auth): authentication failure; logname= uid=0 ..
Linux 中使用日志来排错
刘锐群的笔记
09-01 1150
人们创建日志的主要原因是排错。通常你会诊断为什么问题发生在你的 Linux 系统或应用程序中。错误信息或一系列的事件可以给你提供找出根本原因的线索,说明问题是如何发生的,并指出如何解决它。这里有几个使用日志来解决的样例。 登录失败原因 如果你想检查你的系统是否安全,你可以在验证日志中检查登录失败的和登录成功但可疑的用户。当有人通过不正当或无效的凭据来登录时会出现认证失败,这通常发生在使
Shell脚本防止Linux远程SSH暴力破解
最新发布
伪·宅猫一枚
05-25 284
针对在Linux(CentOS8)系统上的持续ssh暴力破解访问,识别对端IP地址,将其加入防火墙黑名单
ubuntu 16.04防止SSH暴力登录攻击
浮华瑰梦
07-08 4152
ubuntu 16.04防止SSH暴力登录攻击 最近观察服务器的认证日志,发现有些国外的IP地址,多尝试破解服务器的密码进行登录。于是希望能将多尝试SSH登录失败IP阻止掉。 查看日志文件: 1 $ sudo cat /var/log/auth.log 看到很多如下的日志: Failed password for root from 123.15.36.218 port 51252 ssh2 reverse mapping checking g.
测试怎么在linux找日志,在Linux中使用日志来排错
weixin_34374031的博客
05-09 239
人们创建日志的主要原因是排错。通常你会诊断为什么问题发生在你的 Linux 系统或应用程序中。错误信息或一系列的事件可以给你提供找出根本原因的线索,说明问题是如何发生的,并指出如何解决它。这里有几个使用日志来解决的样例。登录失败原因如果你想检查你的系统是否安全,你可以在验证日志中检查登录失败的和登录成功但可疑的用户。当有人通过不正当或无效的凭据来登录时会出现认证失败,这通常发生在使用 SSH 进行...
linux 普通用户 修改密码后登录失败
qq_33930506的博客
09-10 1076
pam_tally2 --user 用户名 --reset。使用如下命令,清除密码错误数,或者等待时间限制解除。表示密码错误超过数被限制了!
用shell脚本防ssh和vsftpd暴力破解的详解讲解
01-10
脚本需求如下:此SHELL脚本放在crontab计划任务里,每隔6小时(此时间根据实际情况来定义)就去读取/var/log/secure脚本,取出里面恶意猜测IP,如果单位时间内(一星期)的连接数是高于一个阀值,例如100(此阀值也...
linux服务器SSH破解预防方法(推荐)
01-10
1、linux服务器通过配置 /etc/hosts.deny 禁止对方IP通过SSH登录我的服务器 vim /etc/hosts.deny 2、不用SSH服务的默认端口22,重新设置一个新端口,最好设置的新端口号大于1024 首先,登录阿里云控制台,在自己...
lasercrack:Lasercrack-可扩展的Ruby暴力破解框架
05-08
lasercrack-可扩展的Ruby多线程暴力破解框架 运行环境 支持系统:linux/Mac/windows,windows需要安装ruby devKit环境同时安装mysys2库。 支持语言:Ruby 2.2.2及以后的版本 支持爆破模块 ftp ssh telnet smb mysql ...
SSH SETUP.rar_UP_vipshock
09-23
6. **安全考虑**:为增强安全性,应定期更换SSH密钥,限制失败登录数,启用防火墙规则以只允许特定IP访问SSH服务,并考虑使用密钥管理系统如SSHD蜜罐或Fail2ban来抵御暴力攻击。 这个压缩包可能包含详细的SSH配置...
linux web集群平台业务系统安全加固方案
06-29
文档包括调整系统服务运行用户,以降低服务运行权限;防止暴力破解,对异常IP进行监控处理;远程登陆保护,对异常登陆用户进行监控保护;修改SSH默认端口,提高系统安全等等。
Ubuntu的SSH安全配置,查看SSH登录日志文件,修改默认端口,UFW配置防火墙,禁止root用户登录,禁用密码登陆,使用RSA私钥登录,使用 Fail2ban 工具,使用两步验证(2FA)
ittuann的博客
11-19 3865
Ubuntu的SSH安全配置,查看SSH登录日志文件,修改默认端口,UFW配置防火墙,禁止root用户登录,禁用密码登陆,使用RSA私钥登录,使用 Fail2ban 工具,使用两步验证(2FA)
转:服务器被黑给我上了一课
燕雀笔记博
05-26 689
 http://www.jianshu.com/p/97b9dc47b88c   当你作为一个独立开发者的时候总要面临这样那样的问题,以前认为的小概率事件也总是某个时间点蜂拥而至考验你的耐心,前一阵阵刚刚经历了一木马惊魂 (参见文章猎豹清理大师值得我们信任么? ),这又遇到了服务器被黑。 部署服务器及一般的服务配置管理对于一个写代码的人自然不在话下,但是相对专业的运维人员程序员确少的...
Centos7访问SSH端口拒绝访问原因及解决办法
hdop的博客
09-17 5679
问题描述:   本地之前正常访问服务器ssh的22端口,后来使用pscp命令上传文件的时候,提示错误:FATAL ERROR: Network error: Network error: Software caused connection abort   通过服务器查询SSH登录日志 cat /var/log/secure 发现出现如下错误: May 5 15:49:27 izbp10jasqavbw6ldi3600z sshd[8279]: pam_unix(sshd:auth): authent
使用 Fail2ban 防止 ssh 暴力破解攻击
三成的博客
09-20 1391
安全防护
debian10ssh配置用户限制,日志等
qq_26947429的博客
06-07 3110
需求: 工作端口为2021; 只允许用户user01,密码ChinaSkill21登录到router。其他用户(包括root)不能登录,创建一个新用户,新用户可以从本地登录,但不能从ssh远程登录。 通过ssh登录尝试登录到RouterSrv,一分钟内最多尝试登录数为3,超过后禁止该客户端网络地址访问ssh服务。 记录用户登录的日志到/var/log/ssh.log,日志内容要包含:源地址,目标地址,协议,源端口,目标端口。 改端口: root@routersrv:~ vim /etc/ssh/s
linux的pam验证
hao18692659499的博客
04-13 5964
PAM:可插拔的认证模块 模块  /lib/security 接口配置文件  /etc/pam.d/ type auth  验证是否有该帐号 account  口令 帐号是否过期 password  用户修改口令 session   会话过程 control required    必须通过,           如果没有通过 ,测底否定  ,而且还要看后续模块
ssh禁止使用ip访问
05-27
如果你希望禁止使用IP地址访问你的SSH服务器,可以通过以下步骤来实现: 1. 在ssh服务器上,打开SSH配置文件/etc/ssh/sshd_config,使用文本编辑器打开该文件。 2. 找到“ListenAddress”选项。如果没有这个选项,就添加下面这行代码: ``` ListenAddress <your_domain_name> ``` 其中,<your_domain_name>是你的SSH服务器的域名。 3. 在配置文件的末尾添加以下两行: ``` Match Address *,!127.0.0.1 DenyUsers <your_ssh_username> ``` 其中,<your_ssh_username>是你的SSH登录用户名。 4. 保存文件并退出编辑器。 5. 重新启动SSH服务,使更改生效。在Ubuntu系统中,可以使用以下命令来重启SSH服务: ``` sudo service ssh restart ``` 现在,你的SSH服务器就只能通过域名访问,并且禁止使用IP地址访问了。请注意,这种设置可能会导致一些问题,例如如果DNS解析出现问题,你将无法访问SSH服务器。因此,请确保你的DNS解析设置正确,以确保你可以正常访问SSH服务器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值