Linux SSH 登录失败多少次禁止该IP访问 防止暴力破解

最新推荐文章于 2024-05-31 09:30:00 发布
最新推荐文章于 2024-05-31 09:30:00 发布
阅读量4.4k 收藏 11
点赞数 4
分类专栏: Linux 文章标签: linux ssh tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39726772/article/details/122416559
版权

Linux 系统SSH 登录失败的内容会记录到/var/log/secure文件,通过查找关键字 Failed,可以定位到这些异常的IP地址,比如:

[root@www.cndba.cn ~]# cat /var/log/secure|grep 36.250.229.118
Jan 10 16:54:25 iZbp15upsrdbnwnq3zksepZ sshd[10813]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:25 iZbp15upsrdbnwnq3zksepZ sshd[10813]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:27 iZbp15upsrdbnwnq3zksepZ sshd[10813]: Failed password for root from 103.152.101.235 port 59352 ssh2
Jan 10 16:54:27 iZbp15upsrdbnwnq3zksepZ sshd[10813]: Connection closed by 103.152.101.235 port 59352 [preauth]
Jan 10 16:54:29 iZbp15upsrdbnwnq3zksepZ sshd[10820]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:29 iZbp15upsrdbnwnq3zksepZ sshd[10820]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:31 iZbp15upsrdbnwnq3zksepZ sshd[10820]: Failed password for root from 103.152.101.235 port 60970 ssh2
Jan 10 16:54:31 iZbp15upsrdbnwnq3zksepZ sshd[10820]: Connection closed by 103.152.101.235 port 60970 [preauth]
Jan 10 16:54:33 iZbp15upsrdbnwnq3zksepZ sshd[10825]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:33 iZbp15upsrdbnwnq3zksepZ sshd[10825]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:35 iZbp15upsrdbnwnq3zksepZ sshd[10825]: Failed password for root from 103.152.101.235 port 34445 ssh2
Jan 10 16:54:35 iZbp15upsrdbnwnq3zksepZ sshd[10825]: Connection closed by 103.152.101.235 port 34445 [preauth]
Jan 10 16:54:37 iZbp15upsrdbnwnq3zksepZ sshd[10831]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:37 iZbp15upsrdbnwnq3zksepZ sshd[10831]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:39 iZbp15upsrdbnwnq3zksepZ sshd[10831]: Failed password for root from 103.152.101.235 port 36166 ssh2
Jan 10 16:54:39 iZbp15upsrdbnwnq3zksepZ sshd[10831]: Connection closed by 103.152.101.235 port 36166 [preauth]
Jan 10 16:54:41 iZbp15upsrdbnwnq3zksepZ sshd[10836]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:41 iZbp15upsrdbnwnq3zksepZ sshd[10836]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:43 iZbp15upsrdbnwnq3zksepZ sshd[10836]: Failed password for root from 103.152.101.235 port 37866 ssh2
Jan 10 16:54:43 iZbp15upsrdbnwnq3zksepZ sshd[10836]: Connection closed by 103.152.101.235 port 37866 [preauth]
Jan 10 16:54:45 iZbp15upsrdbnwnq3zksepZ sshd[10841]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:45 iZbp15upsrdbnwnq3zksepZ sshd[10841]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:47 iZbp15upsrdbnwnq3zksepZ sshd[10841]: Failed password for root from 103.152.101.235 port 39832 ssh2
Jan 10 16:54:47 iZbp15upsrdbnwnq3zksepZ sshd[10841]: Connection closed by 103.152.101.235 port 39832 [preauth]
Jan 10 16:54:49 iZbp15upsrdbnwnq3zksepZ sshd[10847]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.152.101.235  user=root
Jan 10 16:54:49 iZbp15upsrdbnwnq3zksepZ sshd[10847]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan 10 16:54:51 iZbp15upsrdbnwnq3zksepZ sshd[10847]: Failed password for root from 103.152.101.235 port 41558 ssh2
Jan 10 16:54:52 iZbp15upsrdbnwnq3zksepZ sshd[10847]: Connection closed by 103.152.101.235 port 41558 [preauth]

比如这里,明显这个IP地址在进行SSH 扫描,不断的更换端口和用户进行暴力测试。

在Linux里面有两个相关的文件:

/etc/hosts.allow: 允许哪些IP访问主机

cat /etc/hosts.allow
sshd:19.16.18.1:allow
sshd:19.16.18.2:allow

/etc/hosts.deny 禁止哪些IP访问主机:

cat /etc/hosts.deny
sshd:13.7.3.6:deny
sshd:92.4.0.4:deny
sshd:94.10.4.2:deny
sshd:94.4.1.6:deny
sshd:11.64.11.5:deny

因此,我们只需要从/var/log/secure文件中提取IP地址,如果次数达到10次则将该IP写到 /etc/hosts.deny中,禁止这些IP访问主机。

脚本如下secure_ssh.sh:

#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /boss/config/black.list
for i in `cat  /boss/config/black.list`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`
  echo $IP=$NUM
  if [ $NUM -gt 10 ]; then
    grep $IP /etc/hosts.deny > /dev/null
    if [ $? -gt 0 ];then
      echo "sshd:$IP:deny" >> /etc/hosts.deny
    fi
  fi
done

将secure_ssh.sh脚本放入cron计划任务,每1小时执行一次。

# crontab -e
0 */1 * * *  sh /usr/local/bin/secure_ssh.sh
@不白
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
linux试密码3则屏蔽ip,linux centos封锁多ssh密码错误的主机IP
weixin_34864191的博客
04-29 660
封锁多ssh密码错误的主机IP.建立脚本内容$ cat /home/cnscn/sh/ssh_scan_crontab.sh#!/bin/bash# Authorhttp://jabin.cublog.cn# Modify cnscnhttp://cnscn2008.cublog.cn# Modify xinyv#设置时区export LC_ALL=UTC# 获取前 1 分钟内的 secure ...
ssh访问控制,多失败登录即封掉IP防止暴力破解
csdn265的博客
06-27 974
一、系统:Centos6.3 64位 二、方法:读取/var/log/secure,查找关键字 Failed,例如(注:文中的IP地址特意做了删减): Sep 17 09:08:09 localhost sshd[29087]: Failed password for root from13.7.3.6 port 44367 ssh2 Sep 17 09:08:20localhost sshd[29087]: Failed password for root from13.7.3.6 port 4...
Shell脚本防止Linux远程SSH暴力破解
伪·宅猫一枚
05-25 303
针对在Linux(CentOS8)系统上的持续ssh暴力破解访问,识别对端IP地址,将其加入防火墙黑名单
# linux 系统下 切换 root 用户时出现 authentication failure 的解决办法
段子手168的博客
05-31 440
# linux 系统下 切换 root 用户时出现 authentication failure 的解决办法
Linux 中使用日志来排错
刘锐群的笔记
09-01 1158
人们创建日志的主要原因是排错。通常你会诊断为什么问题发生在你的 Linux 系统或应用程序中。错误信息或一系列的事件可以给你提供找出根本原因的线索,说明问题是如何发生的,并指出如何解决它。这里有几个使用日志来解决的样例。 登录失败原因 如果你想检查你的系统是否安全,你可以在验证日志中检查登录失败的和登录成功但可疑的用户。当有人通过不正当或无效的凭据来登录时会出现认证失败,这通常发生在使
Linux防止暴力破解密码脚本
qianfeng_dashuju的博客
10-20 934
1.认识记录linux记录安全的日志 [root@testpm ~]# cd /var/log/ [root@testpm log]# ls | grep secure secure 2.该日志的内容查看 [root@testpm log]# tail -f secure #表示ssh身份验证失败 Aug 29 23:35:03 testpm sshd[111245]: pam_unix(sshd:auth): authentication failure; logname= uid=0 ..
ubuntu 16.04防止SSH暴力登录攻击
浮华瑰梦
07-08 4182
ubuntu 16.04防止SSH暴力登录攻击 最近观察服务器的认证日志,发现有些国外的IP地址,多尝试破解服务器的密码进行登录。于是希望能将多尝试SSH登录失败IP阻止掉。 查看日志文件: 1 $ sudo cat /var/log/auth.log 看到很多如下的日志: Failed password for root from 123.15.36.218 port 51252 ssh2 reverse mapping checking g.
测试怎么在linux找日志,在Linux中使用日志来排错
weixin_34374031的博客
05-09 244
人们创建日志的主要原因是排错。通常你会诊断为什么问题发生在你的 Linux 系统或应用程序中。错误信息或一系列的事件可以给你提供找出根本原因的线索,说明问题是如何发生的,并指出如何解决它。这里有几个使用日志来解决的样例。登录失败原因如果你想检查你的系统是否安全,你可以在验证日志中检查登录失败的和登录成功但可疑的用户。当有人通过不正当或无效的凭据来登录时会出现认证失败,这通常发生在使用 SSH 进行...
Centos7访问SSH端口拒绝访问原因及解决办法
hdop的博客
09-17 5782
问题描述:   本地之前正常访问服务器ssh的22端口,后来使用pscp命令上传文件的时候,提示错误:FATAL ERROR: Network error: Network error: Software caused connection abort   通过服务器查询SSH登录日志 cat /var/log/secure 发现出现如下错误: May 5 15:49:27 izbp10jasqavbw6ldi3600z sshd[8279]: pam_unix(sshd:auth): authent
用shell脚本防ssh和vsftpd暴力破解的详解讲解
01-10
脚本需求如下:此SHELL脚本放在crontab计划任务里,每隔6小时(此时间根据实际情况来定义)就去读取/var/log/secure脚本,取出里面恶意猜测IP,如果单位时间内(一星期)的连接数是高于一个阀值,例如100(此阀值也...
linux服务器SSH破解预防方法(推荐)
01-10
1、linux服务器通过配置 /etc/hosts.deny 禁止对方IP通过SSH登录我的服务器 vim /etc/hosts.deny 2、不用SSH服务的默认端口22,重新设置一个新端口,最好设置的新端口号大于1024 首先,登录阿里云控制台,在自己...
lasercrack:Lasercrack-可扩展的Ruby暴力破解框架
05-08
lasercrack-可扩展的Ruby多线程暴力破解框架 运行环境 支持系统:linux/Mac/windows,windows需要安装ruby devKit环境同时安装mysys2库。 支持语言:Ruby 2.2.2及以后的版本 支持爆破模块 ftp ssh telnet smb mysql ...
Linux服务器升级openssh9.8最新版全过程.pdf
最新发布
07-14
,在sshd中引入惩罚机制,用于阻断频繁出现认证失败的可疑ip地址,有效降低暴力破解风险。 工具套件进行了更新和bug修复,增强了兼容性,例如移除了过时功能和修改服务器行为。 改善了系统的兼容性和构建过程,改进了...
SSH SETUP.rar_UP_vipshock
09-23
6. **安全考虑**:为增强安全性,应定期更换SSH密钥,限制失败登录数,启用防火墙规则以只允许特定IP访问SSH服务,并考虑使用密钥管理系统如SSHD蜜罐或Fail2ban来抵御暴力攻击。 这个压缩包可能包含详细的SSH配置...
服务器一直被暴力破解
m0_63004677的博客
03-15 970
日志收到了来自不同IP地址的用户root的SSH登录尝试,恶意用户试图破解系统密码。
arch linux 密码正确也无法用root登录ssh 提示 Failed password for root from x.x.x.x port xxxx ssh2解决办法
wengek的博客
12-25 1万+
arch linux 无法以root登录ssh解决办法1.检查sshd2.添加用户添加sudo root权限附安装sshd 1.检查sshd 先停止sshd 在启用控制台消息的情况下运行它,以便查看实时运行的日志。 systemctl stop sshd /usr/sbin/sshd -De -f /etc/ssh/sshd_config 如果登录的时候linux控制台提示: Failed password for root from x.x.x.x portxxxx ssh2 那就对了,我找过各种配置
linux 普通用户 修改密码后登录失败
qq_33930506的博客
09-10 1130
pam_tally2 --user 用户名 --reset。使用如下命令,清除密码错误数,或者等待时间限制解除。表示密码错误超过数被限制了!
Ubuntu的SSH安全配置,查看SSH登录日志文件,修改默认端口,UFW配置防火墙,禁止root用户登录,禁用密码登陆,使用RSA私钥登录,使用 Fail2ban 工具,使用两步验证(2FA)
ittuann的博客
11-19 3924
Ubuntu的SSH安全配置,查看SSH登录日志文件,修改默认端口,UFW配置防火墙,禁止root用户登录,禁用密码登陆,使用RSA私钥登录,使用 Fail2ban 工具,使用两步验证(2FA)
pam_succeed_if(sshd:auth): requirement “uid 」= 1000“ not met by user “root“
热门推荐
逐月
07-07 1万+
有下面两种情形: cat /etc/shadow | grep root 查看root用户是否被锁定。如果出现 root:!!$6$CG (注意其中的!!)则说明root用户被锁定,不能登陆。 解决方案: passwd -u root 解除用户锁定。 查看PAM配置文件 /etc/pam.d/login, /etc/pam.d/sshd /etc/pam.d/system-auth中是否有 auth required pam_succeed_if.so uid >= 1000; 修改或者注释该
ssh禁止使用ip访问
05-27
如果你希望禁止使用IP地址访问你的SSH服务器,可以通过以下步骤来实现: 1. 在ssh服务器上,打开SSH配置文件/etc/ssh/sshd_config,使用文本编辑器打开该文件。 2. 找到“ListenAddress”选项。如果没有这个选项,就添加下面这行代码: ``` ListenAddress <your_domain_name> ``` 其中,<your_domain_name>是你的SSH服务器的域名。 3. 在配置文件的末尾添加以下两行: ``` Match Address *,!127.0.0.1 DenyUsers <your_ssh_username> ``` 其中,<your_ssh_username>是你的SSH登录用户名。 4. 保存文件并退出编辑器。 5. 重新启动SSH服务,使更改生效。在Ubuntu系统中,可以使用以下命令来重启SSH服务: ``` sudo service ssh restart ``` 现在,你的SSH服务器就只能通过域名访问,并且禁止使用IP地址访问了。请注意,这种设置可能会导致一些问题,例如如果DNS解析出现问题,你将无法访问SSH服务器。因此,请确保你的DNS解析设置正确,以确保你可以正常访问SSH服务器。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值