防止ssh被恶意嗅探暴力破解登陆

防止ssh被恶意嗅探暴力破解登陆

最近发现我的腾讯云机器上的日志有点异常:
TIM截图20180508174237.png

这几个日志文件居然短时间内增长到如此异常的大,然后学习了一下这几个日志文件的作用。

  • /var/log/btmp:记录失败的登录尝试信息,被编码过,默认由lastb命令查看
  • /var/log/secure:记录登录系统存取数据的文件,例如:pop3,ssh,telnet,ftp等都会记录在此

简单lastb 一下,无数个草泥马的ip奔腾而过...

然后想到以下解决方案:

  1. 修改sshd服务的配置,比如修改默认端口,禁止root登陆,采用ssh私钥登陆等方法,自我感觉不太方便
  2. 写个定时脚本检查失败ip列表,把扫描嫌疑ip加入黑名单

当我尝试第二种方案的时候,发现一个十分高大上的东西:denyhosts

点击查看具体操作过程, 哈哈,别人已经有很好的记录,就不多此一举了。

注:如果手动删除了/var/log/secure日志文件,会导致系统不再创建写入,需要一下操作才会继续写入。

touch /var/log/secure  
chmod 600 /var/log/secure  
service sshd restart  
service rsyslog restart 

PS:加上去之后,果然很有效

Last modification:May 8th, 2018 at 06:21 pm
If you think my article is useful to you, please feel free to appreciate

One comment

  1. hehe

    gaeafawe

Leave a Comment