这些都是破解失败记录。
网络暴力破解的系统登陆安全日志查看:
[root@zwlbsweb ~]# cd /var/log [root@zwlbsweb log]# ll -h -------------------------省略部分信息------------------------------ -rw------- 1 root root 4.9M Jul 17 10:10 secure -rw------- 1 root root 38M Jun 24 03:29 secure-20190624 -rw------- 1 root root 64M Jun 30 03:10 secure-20190630 -rw------- 1 root root 46M Jul 7 03:37 secure-20190707 -rw------- 1 root root 14M Jul 15 03:41 secure-20190715 -------------------------省略部分信息------------------------------
1、禁止root用户ssh登陆
需要编辑/etc/ssh/sshd_config。
vim /etc/ssh/sshd_config
找到 PermitRootLogin,改为 PermitRootLogin no
保存退出配置文件后,重启sshd服务
systemctl restart sshd.service 如果是centos7一下的版本,命令为:service sshd restart
2、将破解ip添加到/etc/hosts.deny
同一个IP地址超过5次的尝试,就加入/etc/hosts.deny
#! /bin/bash cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /root/sshPrevent/black.txt DEFINE="5" for i in `cat /root/sshPrevent/black.txt` do IP=`echo $i |awk -F= '{print $1}'` NUM=`echo $i|awk -F= '{print $2}'` if [ $NUM -gt $DEFINE ]; then grep $IP /etc/hosts.deny > /dev/null if [ $? -gt 0 ]; then echo "sshd:$IP" >> /etc/hosts.deny fi fi done
该文件拷贝会有格式问题。
用:set ff?可以看到dos或unix的字样. 如果的确是dos格式的, 那么你可以用:set ff=unix把它强制为unix格式的, 然后存盘退出即可。
添加到计划任务:
[root@zwlbsweb ~]# crontab -e */5 * * * * /bin/bash /sshPrevent/ssh_pervent.sh # 每五分钟检查一次
检查是否成功
[root@zwlbsweb ~]# cat /sshPrevent/black.txt
103.101.232.208=1 103.108.187.4=2 103.248.220.249=15 104.131.93.33=1 104.236.122.193=2 104.236.186.24=2 104.236.246.16=1 104.244.79.33=4 104.248.211.180=2
[root@zwlbsweb ~]# cat /etc/hosts.deny sshd:103.248.220.249 sshd:104.248.88.106 sshd:106.12.18.37 sshd:106.51.230.186 sshd:106.75.17.91 sshd:112.21.188.183 sshd:112.221.179.133