关于SSH暴力破解

SSH暴力破解大约自linux系列产品诞生之后,就衍生出来的一种攻击行为,不仅仅SSH暴力破解,ftp、telnet、smtp、mysql等等都是暴力美学黑客的最爱。

国外安全研究者做了个统计,他们搭建了一台蜜罐服务器,该服务上安装了修改后的SSHD版本,记录所有的登陆尝试和存储的所有会话,一旦被黑客攻击,可以查看到所有暴力破解尝试记录。
与往年不同,在十年前,一台服务器放在网络上,大概数周的时间才会被黑客光顾,现在一台服务器在网络中,在几个小时之内,就会有黑客开始进行攻击尝试了。

以上引自于网络@

这几天作为个人开发者,自己部署了一台云服务器,自认为阿里的云盾保护还比较放心,但是某下午,突然收到一条短信说是,服务器异地登录了,吓尿了,如果真的是黑客入侵,也算庆幸项目还没有正式运作,赶忙把防火墙开了,只开启用到的端口,进WDCP管理后台设置了禁ping,如果真的暴力破解了SSH ROOT登录密码就完蛋了,那不随心所欲了,接下来要针对SSH端口做一些加固防护

网上了也总结了几点

1、使用SSH密钥,禁用口令认证,如果不能做到这一点,务必使用强壮的密码。
2、登陆IP白名单。
3、更改服务器ssh端口。
4、使用snort、ossec等开源的入侵检测设备保护服务器。

我做了一下几点
1.默认SSH端口是22,这样黑客扫描到端口的机率会大大减小,至少10000以上,好吧我改到了10000+,我可不想当肉鸡
2.防火墙打开,能少开端口就少开端口
3.禁止ping
4.不允许root登录ssh

注意端口修改后,服务器的防火墙要变一下,同时本地ssh的端口也要统一,本地修改

vim /etc/ssh/ssh_config

本地ssh localhost可以看被拒绝没有,否则修改本地防火墙

sudo ufw allow 10010 //允许
sudo ufw status //查看状态
sudo ufw deny 10010 //禁止

这里还有需要优化的(限制ip登录),目前,我每次开机,IP都是动态在变,优化成固定ip,这样在服务器设置到白名单,就非常保险了

重点: 网上还谈到了非常重要的一点<使用证书登录 SSH>,这个还没尝试,试试看!

今天,这条短信给了我警醒,你在破别人的时候,别人也在破你~
安全问题不容小觑~


用到公钥登录时会把公钥pub文件拷贝到远程主机~
如何传递呢?

不同的Linux之间copy文件常用有3种方法:
第一种就是ftp,也就是其中一台Linux安装ftp Server,这样可以另外一台使用ftp的client程序来进行文件的copy。
第二种方法就是采用samba服务,类似Windows文件copy 的方式来操作,比较简洁方便。

第三种就是利用scp命令来进行文件复制。
scp是有Security的文件copy,基于ssh登录。操作起来比较方便,比如要把当前一个文件copy到远程另外一台主机上,可以如下命令。
scp /home/soft/xxxxx.tar.gz root@172.19.1.21:/home/root
然后会提示你输入另外那台172.19.1.21主机的root用户的登录密码,接着就开始copy了。
如果想反过来操作,把文件从远程主机copy到当前系统,也很简单。


今天验证了一下公钥登录,可行~
本地生成公钥和私钥,然后用scp命令将公钥拷贝到服务器的
~/.ssh/authorized_keys里头,注意这是一个文件
修改/etc/ssh/sshd_config,开启RSA权限密钥验证登录,注意我用的是RSA加密

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile    ~/.ssh/authorized_keys

好了,客户端登录会弹出一个框,输入私钥密码(第一次登录会要求输入,后面就不会了),就可以登录了,对了禁止密码登录哦

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值