Ver IP bruta
sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
No sé que no marque una búsqueda sorprendió, bruta mayor alcance IP 4.000 veces
Prohibir el acceso a la cuenta root
Modificar / etc / ssh / sshd_config
# sudo vim /etc/ssh/sshd_config
找到并用#注释掉这行:PermitRootLogin prohibit-password
新建一行 添加:PermitRootLogin yes
重启服务
# sudo service ssh restart
Interpretación de lo que estas dos palabras
PermitRootLogin si # permiten conexión de la raíz, el valor de YES.
PermitRootLogin prohibir-contraseña # permiten conexión de la raíz, pero prohibido contraseña de root
Instalar fail2ban contra la fuerza bruta
fail2ban instalación
更新软件仓库: sudo apt-get update
安装fail2ban: sudo apt-get install fail2ban
Fail2ban configuración del servidor ssh
Nuevo fichero de configuración: sudo vim /etc/fail2ban/jail.local
[DEFAULT]
# fail2ban忽略的IP
ignoreip = 192.168.145.23 113.168.58.39
# 客户端被禁止时长(秒)
bantime = 86400
# 客户端主机被禁止允许失败的次数
maxretry = 5
# 查找失败次数的时长(秒)
findtime = 600
#日志修改检测机制(gamin、polling和auto这三种)
backend = polling
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
Reiniciar el servicio: sudo systemctl reinicio fail2ban
fail2ban prueba
Probar si el trabajo puede fail2ban, intente un ataque de fuerza bruta mediante el uso de una contraseña incorrecta para conectarse al servidor usando ssh simulación. Durante la supervisión de /var/log/fail2ban.log, grabar el archivo de eventos sensibles de la fail2ban
监控:tail -f -n 10 /var/log/fail2ban.log
Fail2ban mediante la detección de la dirección IP de múltiples intentos fallidos de conexión, una dirección IP prohibido: 111.230.248.125
Comprobar el estado de fail2ban
Debido a la fail2ban "ssh-iptables" problema carcelario uso de iptables para bloquear direcciones IP, que puede ser detectado por iptables actuales reglas prohíben las siguientes formas de verificar
sudo iptables --list -n
Estado fail2ban Inspección (prisión mostrará una lista de activo en ese momento)
sudo fail2ban-client status
Un estado de prueba específica prisión (por ejemplo ssh-iptables)
sudo fail2ban-client status ssh-iptables
Se prohíbe el comando anterior mostrará una lista de direcciones IP
Desbloquear una dirección IP específica
sudo fail2ban-client set ssh-iptables unbanip 192.168.1.8
Conjunto Fail2ban arrancar desde Kai
sudo systemctl enable fail2ban
Nota: Si se detiene el servicio Fail2ban, se desbloquearán todas las direcciones IP. Al reiniciar Fail2ban, será log / secure (o /var/log/auth.log) encontrado anormal de la lista de direcciones IP / etc /, en el caso de tiempo para abordar estas anomalías prohibición se sigue en el tiempo, se volverá a Fail2ban estas direcciones IP prohibición