目录
1、命令:hydra -L user.txt -P pass.txt -t 2 -vV -e ns 192.168.168.34 ssh
1、命令:hydra -L user.txt -P pass.txt -t 2 -vV -e ns 192.168.168.34 ssh
执行截图如下:34服务器已被爆破成功,账号密码已显示。
2、防护手段1:设置密码最大尝试次数及超过错误次数封禁策略
(1)检查方式: ssh方式登录 使用 cat /etc/pam.d/sshd 查看是否存在登录失败锁定策略。如下图所示,已配置该策略
(2)配置标准命令:sed -i '/^#%PAM-1.0/a\auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300' /etc/pam.d/sshd
参数说明:
deny=N:登录失败次数一旦大于等于N值,所登录的账号就会被锁定
unlock_time=N:当你登录失败的次数大于等于deny所设置的数值时,账号锁定的秒数
even_deny_root:只要达到了deny设定的值,root账号照样也会被锁定
root_unlock_time=N:如果root账号被锁定,则它所锁定的秒数
//注意:lock_time=N:此项不常见,建议不要配置此项。每一次登录失败后,在尚未达到deny所设置的次数时,会限制你登录的时间
3、防护手段2:服务器远程登录ip限制
(1)配置方法1:通过/etc/ssh/sshd_config文件限制用户远程登录
步骤一:bin包升级openssh。
注:升级openssh可能存在风险,部分项目组的堡垒机不能解析新版openssh的算法,存在服务器无法远程风险。
步骤二:配置文件进行相关配置
只允许跳板机进行登录(白名单)
在文件/etc/ssh/sshd_config 配置文件中设置AllowUsers 选项,格式如下:
允许从跳板机IP远程登录的eproot用户通过SSH登录该Linux服务器
AllowUsers eproot@跳板机IP
如果需要多个IP进行远程,则需要在下面依次添加IP地址
AllowUsers eproot@IP地址1
AllowUsers eproot@IP地址2
步骤三:重启服务service sshd restart
注:可以在允许的IP范围内,拒绝某些IP远程,但是不可以在拒绝的IP范围内,允许某些IP远程登录。