应对SSH爆破攻击

问题描述

发现服务器有n多ssh连接记录，ip地址都随机出现
明显肉鸡爆破攻击

解决方案

1. 提高安全等级

关闭服务器的ssh pasword登录方式
切换为密钥登录

# ssh关闭密码登录，开启密钥登录
PasswordAuthentication no
PubkeyAuthentication yes

开启

ssh-keygen
# 一路回车

密钥对生成位置 /root/.ssh/
将id_rsa 拷贝出来，当密钥使用

2. 将爆破IP加入到黑名单中

编写脚本将攻击次数超过 5 次的 IP 列入到黑名单，禁止访问服务器

#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > black.txt
for i in `cat  black.txt`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`
   if [ $NUM -gt 5 ];then
      grep $IP /etc/hosts.deny > /dev/null
      if [ $? -gt 0 ];then
        echo "sshd:$IP:deny" >> /etc/hosts.deny
      fi
   fi
done

最后设置定时任务，每五分钟执行一次即可 crontab -e

*/5 * * * *  sh /export0/shell/blackList.sh > /dev/null