15年出现的Java反序列化漏洞,另一个是redis配置不当导致机器入侵。只要redis是用root启动的并且未授权的话,就可以通过set方式直接写入一个authorized_keys到系统的/root/.ssh/目录下实现免密码登陆他人的Linux服务器。从而达到入侵成功的效果。fail2ban是一款很棒的开源服务软件,可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,很好、很实用、很强大!简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志,将满足动作的相关IP利用iptables加入到dorp列表一定时间。 本文将从以下四个方面是说明ssh防止暴力破解的常用方法以及如何用fail2ban来防止暴力破解。
一、实战: sshd服务防止暴力破解
二、fail2ban的安装。
三、fail2ban如何防止暴力破解
四、ssh服务器免秘钥登录
说明:本文的服务器和客户端说明
服务端:xiaolyu76 IP:192.168.31.76
客户端:xiaolyu77 IP:192.168.31.77
一、实战: sshd服务防止暴力破解
1、密码足够复杂,不使用弱口令
密码的长度要大于8位最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字母和特殊符号混合组成,
拓展:弱口令
运维安全最核心的问题就是弱口令
qwe@123 1qaz2wsx 6yhnNHY^ 这些都是弱口令
为什么是弱口令? 因为这些都是英文键盘常见的组合。
强口令: 8位数以上的无规则大小写和数字组合
之前发生的漏洞: 15年出现的JAVA反序列化漏洞,另一个是redis配置不当导致机器入侵。
只要redis是用root启动的并且未授权的话,就可以通过set方式直接写入一个authorized_keys到系统的/root/.ssh/目录下实现免密码登陆他人的Linux服务器。从而达到入侵成功的效果。
2、修改默认端口号
1)安装nmap 扫描工具。nmap
[root@xiaolyu77 ~]# rpm -qa | grep nmap
[root@xiaolyu77 ~]# yum install -y nmap
[root@xiaolyu77 ~]# nmap xiaolyu77 #扫描自己的ip地址
Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-19 08:56 CST
Nmap scan report for xiaolyu77 (192.168.31.77)
Host is up (0.0000080s latency).
Not shown: 999 closed ports PORT STATE SERVICE 22/tcp open ssh #22端口,判断出来是ssh服务。
Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds
[root@xiaolyu77 ~]# nmap xiaolyu76 #扫描xiaolyu76服务器的ip地址
Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-19 08:57 CST
Nmap scan report for xiaolyu76 (192.168.31.76)
Host is up (0.00028s latency).
Not shown: 999 closed ports PORT STATE SERVICE 222/tcp open rsh-spx #222端口判断不出来是ssh服务,发生误判。
MAC Address: 00:0C:29:58:6F:7B (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.20 seconds
现在将服务器的端口修改成8099:
[root@xiaolyu76 ~]# vim /etc/ssh/sshd_config
3、不使用root用户名登录。
是否可以禁止root身份登录? 不行,因为有些程序需要使用root身份登录并运行。另外判断一个用户是不是超级管理员,看的是用户的ID是否为0。
[root@xiaolyu76 ~]# useradd mk #创建一个用户mk,用它来冒充root用户。