作者:云牧青
来源:恒生LIGHT云社区
一、背景
开放到公网的主机无时无刻不在遭受攻击,其中ssh暴力破解频率最高,会有无数机器不分日夜地搜索公网上的猎物,然后进行弱密码尝试
如果你的公网机器恰巧设的弱密码,估计刚装上系统,没过几小时别人就进来动手脚了
当然我们设置的密码如果够强,8位以上混合大小写+数字,是不会被爆破出来的。攻击者为了效率着想,广撒网,一般只会对你进行三四千次尝试,不过攻击的人会比较多,平均下来你每天也会被攻击8000次这样
如何查看自己有没有被攻击呢?看ssh日志即可
cat /var/log/secure|grep 'Failed password'|wc -l
直接看到你被攻击过多少次,因为历史日志会被自动备份,所以这是你近几天的量
find /var/log -name 'secure*'|xargs ls -l
查看所有ssh日志文件信息
cat /var/log/secure|grep 'Failed password'|tail -10
查看最近10条被攻击记录
一些的防御方法:
- 密码设得超强——别人爆破我无所谓,觉得日志文件太大看着不舒服再关闭日志、调整等级
- 更改ssh端口号,其实没效果,攻击者会进行端口扫描
- 禁止root用户远程登录,增大破解难度