Ubuntu的SSH安全配置,查看SSH登录日志文件,修改默认端口,UFW配置防火墙,禁止root用户登录,禁用密码登陆,使用RSA私钥登录,使用 Fail2ban 工具,使用两步验证(2FA)

简介: Ubuntu的SSH安全配置,查看SSH登录日志文件,修改默认端口,UFW配置防火墙,禁止root用户登录,禁用密码登陆,使用RSA私钥登录,使用 Fail2ban 工具,使用两步验证(2FA)

环境是Ubuntu 22.04 LTS

查看登录日志文件

sudo vim /var/log/auth.log

不出意外会看到很多类似如下的日志

Failed password for root from 183.146.30.163 port 22537 ssh2
Failed password for invalid user admin from 183.146.30.163 port 22545 ssh2
Invalid user tester from 101.254.217.219 port 56540
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.61.8.34

然后可以统计有多少人在暴力破解root密码错误登录,展示错误次数和ip

sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

因为腾讯云还有个默认用户Ubuntu,也可以一起看看,或是查看一下自己其他用户的错误登录

sudo grep "Failed password for ubuntu" /var/log/auth.log | awk '{print $11}' | sort | uniq -c  | sort -nr | more

统计有多少暴力猜用户名的

sudo grep "Failed password for invalid user" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more

这台才买回来3天就被扫了500多次,东西都还都没上线就被扫了这么多次emmm

修改SSH的默认端口

在ECS上修改的时候要多留意一下,小心没改好再把自己拒绝在外面。

修改后不要退出当前的 ssh 链接,大多数 Linux 发行版重启 ssh 服务并不会中断当前已经建立的 ssh 连接。另外开个窗口去重新连接 ssh 服务,如果遇到问题,还可以在原来的 ssh 连接下修改和恢复。

也可以让SSH同时工作在22和新设定的端口下,等测试能连接到新端口后再将22端口注释掉。

如果操作不慎丢失了ssh连接,可以尝试使用云平台提供的控制台登录

防火墙设置

Ubuntu系统上默认装有了UFW(Uncomplicated Firewall)来配置防火墙。它们之间的关系是 netfilter-->iptables-->[ ufw / firewall ] 。ufw / firewall 是用人性化的语言配置规则并转化为iptables的规则语法。iptables 是一个通过控制 Linux 内核的 Netfilter 模块来管理网络数据包的流动与转送的应用软件,其功能包括不仅仅包括防火墙的控制出入流量,还有端口转发等等。

检查UFW状态

sudo ufw status verbose

verbose参数可不加。当防火墙处于关闭状态时只会显示inactive

UFW默认情况下允许所有的出站连接,拒绝所有的入站连接。

启用UFW防火墙日志

sudo ufw logging on
sudo ufw logging medium #sudo ufw logging low|medium|high

日志文件在/var/log/ufw.log

在防火墙开放SSH端口:

sudo ufw allow ssh
sudo ufw allow 2233/tcp

UFW通过 /etc/services 知道ssh服务使用的端口默认为22

开启UFW:

sudo ufw enable

在系统修改后记得去ECS控制台(比如这台是腾讯云)防火墙里面开放想要设置的端口和关闭默认的22端口。

(用了UFW这种类似于前端的工具后,在不是非常清楚每条命令都是在做什么以及有什么效果那就不要乱改iptables,尤其是不要iptables -F清除全部规则)(不推荐)直接使用iptables配置防火墙的方法:

iptables -A INPUT -p tcp -m tcp --dport 2233 -j ACCEPT 然后保存和重启iptables防火墙 service iptables saveservice iptables restart

修改SSH的默认端口

sudo vim /etc/ssh/sshd_config

# Port 22 修改为 Port 2233

最好使用1024到65535之间的一个别人猜不到的端口号

重启ssh服务:

sudo /etc/init.d/ssh restart    #或    sudo service ssh restart

查看SSH侦听(监听)端口:

sudo netstat -tunlp | grep ssh

UFW删除规则:

sudo ufw status numbered #查看所有规则的规则号
sudo ufw delete 2 #直接删除规则号对应的规则即可

UFW有两种方式删除防火墙规则,既可以通过规则号删除,也可以通过实际规则删除,通过规则号删除更容易。因为UFW默认会管理IPV6所以会既有ipv6又有ipv4,需要删除2个。

禁止SSH的root用户登录

修改 /etc/ssh/sshd_config 文件

首先创建一下文件的备份

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

禁止以root用户身份通过 SSH 登录

PermitRootLogin no

设置SSH单次登录限制

LogLevel INFO        #将LogLevel设置为INFO,记录登录和注销活动
MaxAuthTries 3        #限制单次登录会话的最大身份验证尝试次数
LoginGraceTime 20    #缩短单次的登录宽限期,即ssh登录必须完成身份验证的时间 单位是秒

重启ssh服务 sudo service ssh restart

禁用密码登陆,使用RSA私钥登录

ssh-keygen #在客户端生成密钥
ssh-copy-id myserver1 #将公钥添加至服务端

还需要配置服务端

sudo vim /etc/ssh/sshd_config
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码用户登录

重启ssh服务 sudo service ssh restart

使用 Fail2ban

Ubuntu 16.04 系统源里带有 denyhosts ,到了Ubuntu 20.04默认不再包含。DenyHosts现在几乎不再更新了,所以使用Fail2ban 工具来缓解暴力密码攻击

检查是否安装了特定软件包

apt-cache search denyhosts
apt-cache search fail2ban

使用 sudo apt list --installed | grep denyhosts 来进行搜索会有警告 apt does not have a stable CLI interface. 因为apt 的输出是为用户(人)设计的,并非总能被其它命令行工具解析,比如它会有进度条和颜色等交互界面,而这个进度条会影响其它命令行工具解析它的输出。因此不要在脚本中使用apt命令,应该用apt-get、apt-cache等命令进行替换。

安装fail2ban

sudo apt-get update
sudo apt-get install fail2ban

配置fail2ban

配置文件在 /etc/fail2ban/jail.conf 。 在配置文件的[DEFAULT]区,可以在此定义所有受监控的服务的默认参数

[DEFAULT]
# 以空格分隔的列表,可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip =  127.0.0.1/8 ::1
 
# 客户端主机被禁止的时长
bantime = 60m

# 查找失败次数的时长
findtime = 3m
 
# 客户端主机被禁止前允许失败的次数 
maxretry = 4

根据上述配置,fail2ban会自动禁止在最近3分钟内有超过4次访问尝试失败的任意IP地址。一旦被禁,这个IP地址将会在1小时内一直被禁止访问 SSH 服务。

保存配置后重启服务:

sudo service fail2ban restart 

查看fail2ban运行状态

验证fail2ban成功运行:

$ sudo fail2ban-client ping
Server replied: pong

查看日志文件

sudo vim /var/log/fail2ban.log

检验fail2ban状态

$ sudo fail2ban-client status
Status
|- Number of jail:      1
`- Jail list:   sshd

检验一个特定监狱的状态

sudo fail2ban-client status sshd

上面的命令会显示出当前被禁止IP地址列表

解锁特定的IP地址

sudo fail2ban-client set sshd unbanip 192.168.1.8

使用两步验证(2FA)

https://www.gingerdoc.com/tutorials/how-to-set-up-multi-factor-authentication-for-ssh-on-ubuntu-20-04

参考链接:

ubuntu 16.04防止SSH暴力登录攻击

Linux实用工具总结之UFW

如何使用 fail2ban 防御 SSH 服务器的暴力破解攻击

How To Harden OpenSSH on Ubuntu 20.04 - DigitalOcean

How To Harden OpenSSH Client on Ubuntu 20.04 - DigitalOcean

目录
相关文章
|
10月前
|
人工智能 Ubuntu 前端开发
Dify部署全栈指南:AI从Ubuntu配置到HTTPS自动化的10倍秘籍
本文档介绍如何部署Dify后端服务及前端界面,涵盖系统环境要求、依赖安装、代码拉取、环境变量配置、服务启动、数据库管理及常见问题解决方案,适用于开发与生产环境部署。
1808 1
|
10月前
|
Ubuntu 安全 应用服务中间件
详细指南:配置Nginx服务器在Ubuntu平台上
以上步骤涵盖了基本流程:从软件包管理器获取 Ngnix, 设置系统服务, 调整UFW规则, 创建并激活服务器块(也称作虚拟主机), 并进行了初步优化与加固措施。这些操作都是建立在命令行界面上,并假设用户具有必要权限(通常是root用户)来执行这些命令。每个操作都有其特定原因:例如,设置开机启动确保了即使重启后也能自动运行 Ngnix;而编辑server block则定义了如何处理进入特定域名请求等等。
517 18
|
10月前
|
Ubuntu 安全 应用服务中间件
详细指南:配置Nginx服务器在Ubuntu平台上
以上步骤涵盖了基本流程:从软件包管理器获取 Ngnix, 设置系统服务, 调整UFW规则, 创建并激活服务器块(也称作虚拟主机), 并进行了初步优化与加固措施。这些操作都是建立在命令行界面上,并假设用户具有必要权限(通常是root用户)来执行这些命令。每个操作都有其特定原因:例如,设置开机启动确保了即使重启后也能自动运行 Ngnix;而编辑server block则定义了如何处理进入特定域名请求等等。
871 17
|
10月前
|
Ubuntu 安全 关系型数据库
安装与配置MySQL 8 on Ubuntu,包括权限授予、数据库备份及远程连接指南
以上步骤提供了在Ubuntu上从头开始设置、配置、授权、备份及恢复一个基础但完整的MySQL环境所需知识点。
1100 7
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
624 73
|
监控 安全 Linux
启用Linux防火墙日志记录和分析功能
为iptables启用日志记录对于监控进出流量至关重要
616 1
|
网络协议 Linux 网络安全
入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作
在CentOS 7中,新引入了firewalld服务(防火墙),取代了CentOS 6之前的iptables服务(防火墙)。
344 5
入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作
|
存储 运维 Linux
Linux防火墙firewall的使用
CentOS 7 中的 firewalld 是基于 Netfilter 的防火墙服务,支持动态配置,无需重启服务即可生效。它通过区域管理网络流量,每个区域可以设置不同的防火墙规则。默认区域为 public,可以通过命令行工具 firewall-cmd 进行管理和配置。firewalld 提供了丰富的预定义服务和区域,方便用户根据需求进行灵活配置。
395 0
|
Linux 网络安全
linux关闭方防火墙的命令
linux关闭方防火墙的命令
360 2