linux 防止ssh暴力破解的方法

忘是亡心i 2022-06-04 03:57 292阅读 0赞

上两个星期发生了一件事情，让我感觉到安全是多么的重要，因为租了一天学生机Linux作为服务器，没想到用了没两个月就出现问题了。给外国黑客ssh暴力破解，然后安装挖矿病毒，导致cpu满了，远程都链接不上，只能重装系统。

查看/var/log/secure 文件可以看到很多认证失败的Failure的ip登录信息。所以想到根据secure文件查看失败的ip如果超过五次，那么就把此ip写入/etc/hosts.deny文件，禁止此ip登录。我用了第一种方法，设置了定时任务，每分钟执行一次。执行之后，查看secure文件就没有那么多失败的信息日志输出了。  
方法一，  
收集 /var/log/secure 里面的信息，若是某个IP 链接次数超过一定次数 ，则把此ip记录到/etc/hosts.deny里面。  
通过crontab来执行，每分钟执行一次。

`*/1 * * * * /bin/bash /root/Denyhosts/Denyhosts.sh`

#!/bin/bash
    #Denyhosts SHELL SCRIPT
    
    
    cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"=" $1;}' >/root/Denyhosts/Denyhosts.txt
    DEFINE="5"
    for i in `cat /root/Denyhosts/Denyhosts.txt`
    do
            IP=`echo $i|awk -F= '{print $1}'`
            NUM=`echo $i|awk -F= '{print $2}'`
            if [ $NUM -gt $DEFINE ]
            then
                    ipExists=`grep $IP /etc/hosts.deny |grep -v grep |wc -l`
                    if [ $ipExists -lt 1 ]
                    then
                    echo "sshd:$IP" >> /etc/hosts.deny
                    fi
            fi
    done

方法二，  
DenyHosts官方网站为：[http://denyhosts.sourceforge.net][http_denyhosts.sourceforge.net]

#### **扩展知识：** ####

一. Crontab 介绍

crontab命令的功能是在一定的时间间隔调度一些命令的执行。

二．查看/etc/crontab文件

vim /etc/crontab

三．文件/etc/crontab中每行任务的描述格式如下:

minute hour day month dayofweek command

minute - 从0到59的整数 
    hour - 从0到23的整数 
    day - 从1到31的整数 (必须是指定月份的有效日期)
    month - 从1到12的整数 (或如Jan或Feb简写的月份)
    dayofweek - 从0到7的整数，0或7用来描述周日 (或用Sun或Mon简写来表示)
    command - 需要执行的命令(可用as ls /proc >> /tmp/proc或 执行自定义脚本的命令)
    
    root表示以root用户身份来运行
    run-parts表示后面跟着的是一个文件夹，要执行的是该文件夹下的所有脚本
    
    对于以上各语句，星号(*)表示所有可用的值。例如*在指代month时表示每月执行(需要符合其他限制条件)该命令。 
    整数间的连字号(-)表示整数列，例如1-4意思是整数1,2,3,4

指定数值由逗号分开。如：3,4,6,8表示这四个指定整数。

符号“/”指定步进设置。“/”表示步进值。如0-59/2定义每两分钟执行一次。步进值也可用星号表示。如\*/3用来运行每三个月份运行指定任务。

以“\#”开头的为注释行,不会被执行。

如果一个cron任务需要定期而不是按小时,天,周,月来执行,则需要添加/etc/cron.d目录。这个目录下的所有文件和文件/etc/crontab语法相同，查看样例：

# record the memory usage of the system every monday #

# at 3:30AM in the file /tmp/meminfo #

30 3 \* \* mon cat /proc/meminfo >> /tmp/meminfo

# run custom scrīpt the first day of every month at 4:10AM #

10 4 1 \* \* /root/scrīpts/backup.sh

除了root用户之外的用户可以执行crontab配置计划任务。所有用户定义的crontab存储在目录/var/spool/cron下，任务会以创建者的身份被执行。要以特定用户创建一个crontab，先以该用户登录，执行命令crontab -e，系统会启动在VISUAL或者EDITOR中指定的的编辑软件编辑crontab。文件内容与/etc/crontab格式相同。示例如下：

0 3 \* \* \* /home/dbbackup/db1backup.sh backup  
0 4 \* \* \* /home/dbbackup/db2backup.sh backup

表示每天3点执行/home/dbbackup/db1backup.sh backup，4点执行/home/dbbackup/db2backup.sh backup，如果是每五分钟执行一次可改为：

`*/5 * * * * /home/dbbackup/db2backup.sh backup`

当更改的crontab需要保存时，文件会保存在成如下文件/var/spool/cron/username。文件名会根据用户名而不同。

cron服务会每分钟检查一次/etc/crontab、/etc/cron.d/、/var/spool/cron文件下的变更。如果发现变化，就会下载到存储器中。因此，即使crontab文件改变了，程序也不需要重新启动。推荐自定义的任务使用crontab -e命令添加，退出后用/etc/init.d/crond restart命令重启crond进程，官方文件说不用重启进程，但我遇到不重启无法运行任务的情况。开始不知道/etc/crontab文件中的run-parts是什么意思，直接把命令按照/etc/crontab的格式加上总是无法运行，后来才知道run-parts是指后面跟着的是文件夹。

四．crontab服务的启动关闭

sbin/service crond start //启动服务  
/sbin/service crond stop //关闭服务  
/sbin/service crond restart //重启服务  
/sbin/service crond reload //重新载入配置

要把cron设为在开机的时候自动启动，在 /etc/rc.d/rc.local 脚本中加入 /sbin/service crond start 即可

还有就是我重新设置一下密码但是忘记重启，输入五遍后把自己的ip给锁了，解决的办法就是把/var/log/secure 文件清空， vi /var/log/secure 然后进入命令模式，:.,$d 清空，然后保存文件，再处理/etc/hosts.deny 文件，把需要解除ip的行删除。

[http_denyhosts.sourceforge.net]: http://denyhosts.sourceforge.net