linux服務器開放遠程,SSH方便管理。但是對於很多黑客也利用22端口,對root進行暴力破解密碼。如何防範ssh暴力攻擊。咗嚛本經驗以centos系統為例
安裝防暴力破解攻擊fail2ban
首先網上下載fail2ban0.8.14.tar ,上傳(可以通過rz)
軟件下載地址
[[email protected] ~]# tar xzvf fail2ban0.8.14.tar.gz 解壓
進入fail2ban目錄安裝 (不同版本安裝方法不一樣,具體查看目錄下readme[[email protected] fail2ban-0.8.14]# python setup.py install
檢查fail2ban是否安裝正確[[email protected] fail2ban-0.8.14]# ll /etc/fail2ban/總用量 40drwxr-xr-x 2 root root 4096 11月 17 16:02 action.d-rw-rw-r-- 1 root root 1525 8月 20 2014 fail2ban.confdrwxr-xr-x 2 root root 4096 11月 17 16:02 fail2ban.ddrwxr-xr-x 2 root root 4096 11月 17 16:09 filter.d-rw-rw-r-- 1 root root 19488 11月 17 16:06 jail.confdrwxr-xr-x 2 root root 4096 11月 17 16:02 jail.d
加載fail2ban服務(把fail2ban服務文件放進去, centos是 redhat文件)cp /fail2ban-0.8.14/files/redhat-initd /etc/init.d/fail2ban
編輯/etc/fail2ban/filter.d/sshd.conf文件
[Definition]增加一行 Failed password for .* from
編輯 /etc/fail2ban/jail.conf
jail.conf文件(增加)
[sshd]enabled = truefilter = sshaction = iptables[name=SSH, port=ssh, protocol=tcplogpath = /var/log/securebantime = 360 (屏蔽時間)findtime = 60 (多久查詢一次日誌)maxretry = 3 (失敗的次數)
chkconfig --add fail2ban 加入到開機服務裡面
chkconfig fail2ban on 開機自動啟動服務 /etc/init.d/fail2ban start 開啟fail2ban服務
查看fail2ban屏蔽的日誌
/var/log/fail2ban日誌
自定義SSH端口
如果覺得上述方法太麻煩,或者想更加安全。可以自定義修改SSH端口
找到 /etc/ssh/sshd_config文件裡面 ,查找 port 22端口
修改ssh端口號之後,要重啟一下 sshd服務才會生效。
具體修改方法也可以參考下面經驗
19 SSH是什麼?Linux如何修改SSH端口號?
注意事項
設置一個複雜安全的root密碼,養成好的的操作習慣。一般linux系統安全就能很好的保證了