如圖: 當我們遭到暴力破解ssh服務該怎么辦
內行看門道 外行看熱鬧 下面教大家幾招辦法:
1 密碼足夠的復雜,密碼的長度要大於8位最好大於20位。密碼的復雜度是密碼要盡可能有數字、大小寫字母和特殊符號混合組成
暴力破解是有位數限制的 當前的密碼字典好像最高支持破解20位的密碼 ,但也有可能更高
總之通過設置復雜密碼 和 定期更換密碼能夠有效的防止暴力破解
2修改默認端口號
ssh的默認端口是22 黑客想要入侵別人時需要先使用端口掃描工具 掃描外網當中那些服務器是開啟了22端口
然后再進行暴力破解,因此改端口也是個不二的選擇
3 不允許root賬號直接登陸,添加普通賬號,授予root的權限
也許你會說為何不直接把root賬號禁用了,那是因為有些程序需要使用root身份登錄並運行
4不允許密碼登陸,只能通過認證的秘鑰來登陸系統
認證登錄是內部的機子可以無密碼直接登錄,非常方便省事
他的原理是采用RSA加密算法 如果對RSA不是很了解可以點擊下面傳送帶:
http://www.cnblogs.com/demonxian3/p/6261816.html
生成秘鑰
將公鑰發送給對方 讓其加密
然后測試認證登錄 直接免密碼:
當然這招防的了外人 防不了內鬼
5.借助第三方工具fail2ban防御
這個工具原理很簡單 ,他可以檢測我們認證日志,如果發現了有暴力破解的跡象
他就會對相應IP采取動作 比如ban掉IP
工具下載地址:
解壓安裝 記得要把/files/reha-initdt文件 移動到 /etc/init.d/下
編輯配置文件 /etc/fail2ban/jail.conf
啟動后查看是否生成規則鏈
現在我嘗試使用112客戶機 去暴力破解一下 113服務器
對了!還記得之前我設置了無密碼認證登錄嗎,這里需要把他取消了 怎么取消?
> /root/.ssh/authorized_keys
現在開始使用看看是否能夠有效禁用暴力破解的IP
如上圖 連續5次輸錯密碼后 就無法繼續下一次登錄了
此時我們可以看到113服務器的ip規則新加了一條
