使用pam_abl防止SSH遭暴力破解攻击

本文涉及的产品
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
运维安全中心(堡垒机),免费版 6个月
简介:  翻译、参考自StoneLion的http://security.linux.com/article.

 

翻译、参考自StoneLion的http://security.linux.com/article.pl?sid=07/03/20/2043209

PAM(Pluggable Authenticatiion Modules)开发的pam_abl模块能实现自动对试图登录ssh的每个认证进行统计,对大量错误的试图尝试通过认证的登录进行必要的封杀,这样对于使用SSH服务的Unix和Linux服务器管理人员来说,方便了很多,在我们面临大量的针对SSH的暴力攻击头疼的时候,完全可以采用此模块实现防御。

安装

1、下载源码
2、编译安装
#tar zxvf pam_abl-0.2.3.tar.gz
#cd pam_abl
#make && make install
#cp conf/pam_abl.conf /etc/security/

配置

编辑/etc/pam.d/system-auth文件,加入pam_abl.so模块,下面是一个例子:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/pam_env.so
auth required /lib/security/pam_abl.so config=/etc/security/pam_abl.conf
auth sufficient /lib/security/pam_unix.so likeauth nullok
auth required /lib/security/pam_deny.so

account sufficient /lib/security/pam_succeed_if.so uid < 100
account required /lib/security/pam_unix.so

password requisite /lib/security/pam_cracklib.so retry=3
password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/pam_deny.so

session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so

接下来就是配置pam_abl了,我们编辑配置文件/etc/security/pam_abl.conf,内容如下:

# /etc/security/pam_abl.conf
# debug
host_db=/var/lib/abl/hosts.db
host_purge=2d
host_rule=*:3/1h,30/1d
user_db=/var/lib/abl/users.db
user_purge=2d
user_rule=!root:3/1h,30/1d

简单解释一下上面这个配置文件:
第2行
host_db=/var/lib/abl/hosts.db
和第5行
user_db=/var/lib/abl/users.db
分别定义了被禁止的主机名和用户列表保存到哪里。第3行
host_purge=2d
和第6行
user_purge=2d
分别定义了禁止的主机和用户的释放时间,也就是多长时间后解禁。这里定义的是2天后,主机和用户都会解禁。第4行
host_rule=*:3/1h,30/1d
和第7行
user_rule=!root:3/1h,30/1d
分别定义了主机和用户规则,我们看看他的语法规则。
他的规则如下:
host或user_rule=:<尝试次数>/<禁止时间>,<尝试次数>/<禁止时间>

因此上面的配置文件第4行host_rule=*:3/1h,30/1d主机规则的意思是禁止所有的主机(*表示),在一个小时内当错误的连接次数达到或者超过3次时禁止,在1天内当超过30次时禁止。
第7行用户规则user_rule=!root:3/1h,30/1d意思是所有的用户,除了root(用!root表示)在最近的一个小时内连接错误达到三次就禁止,或者最近的一天超过30次就禁止。

当然,你也可以定义你选择的那些用户,比如:
anze|dasa|kimzet|madison:20/1h
这意味着上面的四个用户anze,dasa,kimzet,madison将被禁止,如果在最近的一个小时内连接错误次数达到20次。

注:这里说的连接次数,是指你建立连接,然后输入密码,当缺省输入三次密码都不正确时,就退出了,这就算一次。
更详细的说明,请参考pam_abl手册

测试

现在我们可以测试我们的配置了,打开终端,远程连接一下,尝试连接次数超过三次,你应该可以下面下面类似的结果:
pam_abl[6248]: Blocking access from sataras.example.com to service ssh, user madison

你可以用命令pam_abl查看被禁止的用户和主机:

#pam_abl
Failed users:
madison (3)
Blocking users [!root]
Failed hosts:
sataras.example.com (3)
Blocking users [*]

这就表示用户madison和主机sataras.example.com被禁止了,你可以尝试再次连接机器,并输入正确的密码,也打印"权限禁止"的提示。

目录
相关文章
|
Linux 网络安全 数据安全/隐私保护
【实用】防暴力破解服务器ssh登入次数
【实用】防暴力破解服务器ssh登入次数
462 0
|
4月前
|
存储 安全 Linux
年底了,看老司机如何防 ssh 被暴力破解?
年底了,看老司机如何防 ssh 被暴力破解?
136 0
|
6月前
|
监控 安全 Linux
【权限维持】Linux&OpenSSH&PAM后门&SSH软链接&公私钥登录
【权限维持】Linux&OpenSSH&PAM后门&SSH软链接&公私钥登录
106 2
|
5月前
|
监控 网络协议 网络安全
ssh服务中如何批量管理100多台机器(Paramiko、 psutil模块)、跳板机(堡垒机)
ssh服务中如何批量管理100多台机器(Paramiko、 psutil模块)、跳板机(堡垒机)
|
7月前
|
监控 Linux 网络安全
百度搜索:蓝易云【CentOS7如何使用fail2ban防范SSH暴力破解攻击?】
请注意,fail2ban还有其他功能和配置选项可供使用,您可以进一步定制以满足您的需求。您可以查阅fail2ban的官方文档或其他资源以了解更多详细信息和配置选项。
79 1
|
安全 网络安全 数据安全/隐私保护
SSH 穿越多个跳板机的连接方法
SSH 穿越多个跳板机的连接方法
532 0
|
安全 物联网 Linux
通过 SSH 暴力攻击 Linux 服务器
通过 SSH 暴力攻击 Linux 服务器
|
缓存 安全 网络安全
【SSH远程连接问题】在校园网内使用SSH服务远程访问云服务器,结果连接不上,误以为是服务器被攻击了。结果是因为......
【SSH远程连接问题】在校园网内使用SSH服务远程访问云服务器,结果连接不上,误以为是服务器被攻击了。结果是因为......
551 0
|
存储 安全 Linux
别让你的服务器(vps)沦为肉鸡(ssh暴力破解),密钥验证、双向因子登录值得拥有
如果你购买了阿里云、腾讯云或者华为云等国内云服务上的服务器,默认登录都是以密码的方式,这就给潜在的渗透带来了机会,因为当你的linux服务器暴露在外网当中时,服务器就极有可能会遭到互联网上的扫描软件进行扫描,然后试图连接ssh端口进行暴力破解(穷举扫描),如果你不采取相对应的措施,迟早有一天服务器会被渗透者攻陷,这也就解释了为什么google cloud(谷歌云)和aws(亚马逊云)默认都是以秘钥的方式登录服务器。
别让你的服务器(vps)沦为肉鸡(ssh暴力破解),密钥验证、双向因子登录值得拥有
|
Linux 网络安全 Python
CentOS7下安装SSHGuard阻止SSH暴力破解攻击
CentOS7下安装SSHGuard阻止SSH暴力破解攻击
433 0
CentOS7下安装SSHGuard阻止SSH暴力破解攻击