linux服务(4)--ssh服务防暴力破解--RHEL6.5

  接触过服务器的都知道服务器经常被暴力破解，虽然大部分都不会破解成功，但是还是需要防患于未然。

1.  当遭受的暴力破解不严重时

  （1）修改超级用户的用户名

    一般大家都会把超级用户的用户名设置为root，但是不得不说这是一种坏习惯，因为这样的话至少黑客在暴力破解时不需要猜测你的用户名了，因为他就是root，只需要破解你的密码即可，可以说给黑客大大减轻了工作量。

  因此建议将超级用户改名，在/etc/passwd中将root最后一个字段改为/sbin/nologin即禁用root，将一个普通用户的UID和GID都设置为0，此时该普通用户即为超级用户了。

  （2）禁止root 使用ssh远程登录

    修改ssh服务的配置文件，默认为/etc/ssh/sshd_config中 PermitRootLogin yes改为no,重启ssh服务即可。

2. fail2ban防止暴力破解

   使用lastb可以发现服务器是否正在被暴力破解，当发现某个IP正在暴力破解当前的服务器时可以采用将该ip加入防火墙drop的方法，即 iptables -I INPUT -s IP -j DROP

   恢复被拉黑的IP时  iptables -D INPUT -s IP -j DROP

  上述方式虽然简单，但是治标不治本，即只有在已经发现暴力破解时才可使用，因此此种方式不合适。

  下面介绍fail2ban:

   fail2ban分析需要监控的日志，获取一段时间内日记的信息，判断是否达到预设的阈值，如果达到则组织目标IP进一步的登录，同时向目标邮箱发出告警邮件。

  fail2ban具体安装步骤如下:

  （1）fail2ban官网下载fail2ban安装包。

  （2）解压安装包

  （3）进入解压后的目录执行，python setup.py install

  （4）修改文件/etc/fail2ban/jail.conf

    如下为5分钟内登录失败3次则10分钟内不允许再登录，以下时间单位为秒。

    [ssh-iptables]
   enabled  = true
   filter   = sshd
   action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=XXX@qq.com, sender=fail2ban@example.com, sendername="Fail2Ban"]   #配置接收邮箱的地址
   logpath  = /var/log/secure        #ssh日志位置
   bantime = 600                           #禁止登录时间

   findtime = 300                           #5分钟
   maxretry = 3                              #失败次数的阈值

  (5) 创建开机启动文件

   因为安装包中已经自带了开机启动文件因此直接拷贝即可。

   cp files/redhat-init.d    /etc/init.d/fail2ban

   chkconfig fail2ban on

   service fail2ban start

   (6)检查是否配置成功

    iptables -L -n

    成功则会多出一条关于fail2ban 的规则。

  使用另一个IP ssh到本机，多次输错密码验证是否会禁止登录。

   fail2ban日志文件/var/log/fail2ban.log，可以在此查看登录情况。

   附: 也可采用denyhost来实现防止ssh暴力破解，在此不再赘述。

现在正在做系列视频课程，课程中会提供视频中涉及的操作文档、软件包，系列课程内容更加完整、贴近实际工作。欢迎感兴趣的小伙伴到[网易云课堂](https://study.163.com/course/introduction/1005734052.htm)进行学习。