VPS 防止 SSH 暴力登入嘗試攻擊

 前些時談了一下如何屏蔽對網站伺服器的掃描，屬于前台防禦。後來 Felix 發了一篇 blog 提到将多次嘗試 SSH 登入失敗的 IP ban 掉，才想起來去看一下日志，沒想到後院起火了。

檢視日志檔案：

$ sudo cat /var/log/auth.log 

沒想到滿屏滿屏的往下刷，全是：

來統計一下有多少人在暴力破解我的 root 密碼吧：

$ sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more  

470 222.122.52.150  

411 123.15.36.218  

139 177.8.168.48  

20 74.81.83.226  

18 77.108.112.131  

2 95.58.255.62  

1 218.28.79.228  

1 188.132.163.154 

很明顯我禁用了 root 登入，人家也不是那麼笨，開始暴力猜使用者名：

$ sudo grep "Failed password for invalid user" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more  

3190 218.28.79.228  

646 222.122.52.150  

172 123.15.36.218  

65 177.8.168.48  

4 222.76.211.149 

某個人嘗試了 3000 多次，好吧，lovelucy 這個小部落格真有那麼 valuable 麼。。為了防範于未然，我們可以做些配置，讓 VPS 伺服器更加安全。

1、修改 SSH 端口，禁止 root 登陸

修改/etc/ssh/sshd_config檔案

$ sudo vi /etc/ssh/sshd_config  

Port 4484 #一個别人猜不到的端口号  

PermitRootLogin no  

$ sudo /etc/init.d/ssh restart 

2、禁用密碼登陸，使用 RSA 私鑰登入

Amazon EC2 伺服器本來就是隻允許使用私鑰登入的，但是這樣的話我如果想在别的電腦上臨時 SSH 上來，又沒帶私鑰檔案的情況下，就很麻煩。是以我又手動開啟了密碼驗證登入。不管怎樣，這一條還是先列出來吧！

# 在用戶端生成密鑰  

$ ssh-keygen -t rsa  

# 把公鑰拷貝至伺服器  

$ ssh-copy-id -i .ssh/id_rsa.pub server  

# 也可以手動将.shh/id_rsa.pub拷貝至伺服器使用者目錄的.ssh中，記得修改通路權限  

# $ scp .shh/id_rsa.pub server:~/.ssh  

# 在伺服器中  

$ cd ./.ssh/  

$ mv id_rsa.pub authorized_keys  

$ chmod 400 authorized_keys  

$ vi /etc/ssh/sshd_config  

RSAAuthentication yes #RSA認證  

PubkeyAuthentication yes #開啟公鑰驗證  

AuthorizedKeysFile .ssh/authorized_keys #驗證檔案路徑  

PasswordAuthentication no #禁止密碼認證  

PermitEmptyPasswords no #禁止空密碼  

UsePAM no #禁用PAM  

# 最後儲存，重新開機  

3、安裝denyhosts

這個方法比較省時省力。denyhosts 是 Python 語言寫的一個程式，它會分析 sshd 的日志檔案，當發現重複的失敗登入時就會記錄 IP 到 /etc/hosts.deny 檔案，進而達到自動屏 IP 的功能。這和我之前介紹的自動屏蔽掃描的腳本 是一個思路。如果靠人工手動添加的話還不把人累死。現今 denyhosts 在各個發行版軟體倉庫裡都有，而且也不需要過多配置，傻瓜易用。

安裝：

# Debian/Ubuntu：  

$ sudo apt-get install denyhosts  

# RedHat/CentOS  

$ yum install denyhosts  

# Archlinux  

$ yaourt denyhosts  

# Gentoo  

$ emerge -av denyhosts 

預設配置就能很好的工作，如要個性化設定可以修改 /etc/denyhosts.conf：

$ vi /etc/denyhosts.conf  

SECURE_LOG = /var/log/auth.log #ssh 日志檔案，它是根據這個檔案來判斷的。  

HOSTS_DENY = /etc/hosts.deny #控制使用者登陸的檔案  

PURGE_DENY = #過多久後清除已經禁止的，空表示永遠不解禁  

BLOCK_SERVICE = sshd #禁止的服務名，如還要添加其他服務，隻需添加逗号跟上相應的服務即可  

DENY_THRESHOLD_INVALID = 5 #允許無效使用者失敗的次數  

DENY_THRESHOLD_VALID = 10 #允許普通使用者登陸失敗的次數  

DENY_THRESHOLD_ROOT = 1 #允許root登陸失敗的次數  

DENY_THRESHOLD_RESTRICTED = 1 

WORK_DIR = /var/lib/denyhosts #運作目錄  

SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES 

HOSTNAME_LOOKUP=YES #是否進行域名反解析  

LOCK_FILE = /var/run/denyhosts.pid #程式的程序ID  

ADMIN_EMAIL = root@localhost #管理者郵件位址,它會給管理者發郵件  

SMTP_HOST = localhost 

SMTP_PORT = 25 

SMTP_FROM = DenyHosts <nobody@localhost> 

SMTP_SUBJECT = DenyHosts Report  

AGE_RESET_VALID=5d #使用者的登入失敗計數會在多久以後重置為0，(h表示小時，d表示天，m表示月，w表示周，y表示年)  

AGE_RESET_ROOT=25d 

AGE_RESET_RESTRICTED=25d 

AGE_RESET_INVALID=10d 

RESET_ON_SUCCESS = yes #如果一個ip登陸成功後，失敗的登陸計數是否重置為0  

DAEMON_LOG = /var/log/denyhosts #自己的日志檔案  

DAEMON_SLEEP = 30s #當以背景方式運作時，每讀一次日志檔案的時間間隔。  

DAEMON_PURGE = 1h #當以背景方式運作時，清除機制在 HOSTS_DENY 中終止舊條目的時間間隔,這個會影響PURGE_DENY的間隔。 

檢視我的 /etc/hosts.deny 檔案發現裡面已經有 8 條記錄。

本文轉自 xxl714 51CTO部落格，原文連結：http://blog.51cto.com/dreamgirl1314/975547，如需轉載請自行聯系原作者