在Linux中,root几乎拥有所有的权限,一旦root用户密码外泄,对于服务器而言将是致命的威胁,禁止root用户通过ssh的方式远程登录,这样即使root用户密码外泄也能够保障服务器的安全。前些天发现登陆失败异常的多,看了一下登陆ip,真的是遍布世界各地……
last 查看登录成功的用户信息,最新的登录记录在最前面last | less,查看登录失败的用户信息lastb
查看登录日志tail /var/log/secure
创建一个普通用户xxx并加入相应的组,同时禁用root的远程登陆,修改ssh端口22作为默认端口保留,添加新端口n,设置最多登录失败次数3。通过vim /etc/ssh/sshd_config
进入文件修改。
adduser xxx
passwd xxx以更改密码
修改sshd_config文件
sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
重启ssh服务
service sshd restart
然而三天后我再次登陆发现,情况并没有好转,于是就加入了这段多次失败禁用ip。
vi /usr/local/bin/secure_ssh.sh
#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list
for i in `cat /usr/local/bin/black.list`
do
IP=`echo $i |awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ ${#NUM} -gt 1 ]; then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];then
echo "sshd:$IP:deny" >> /etc/hosts.deny
fi
fi
done
将secure_ssh.sh脚本放入cron计划任务,每1分钟执行一次。
vi /var/spool/cron/root
*/1 * * * * sh /usr/local/bin/secure_ssh.sh
看看服务器上的黑名单文件:
cat /usr/local/bin/black.txt
再看看服务器上的hosts.deny
cat /etc/hosts.deny
更多参考:
https://blog.csdn.net/ausboyue/article/details/53691953
http://huikon.cn/post-330.html
https://www.cnblogs.com/panblack/p/secure_ssh_auto_block.html