1. Modifique o arquivo de configuração
vi /etc/pam.d/sshd
Adicione o seguinte no final
autenticação necessária pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60
Descrição do parâmetro
even_deny_root também restringe o usuário root;
negar define o número máximo de logins errados consecutivos para usuários comuns e usuários root, se o número máximo for excedido, o
usuário será
bloqueado Após o bloqueio, quanto tempo leva para desbloquear, a unidade é a segunda ;
método de desbloqueio
Faça login como usuário root no lado do servidor
e execute o comando:
pam_tally2 -u root -r
ou
pam_tally2 --user username --reset
para limpar os horários de login incorretos do usuário especificado
Centos7 e Centos8 definem porta ssh, horários de login
Modifique o número da porta do SSH
vi /etc/ssh/sshd_config
Porta 22 alterada para 5795 // apenas altere a porta 22 para 5795, remova o # na frente
Limitar logins
vi /etc/ssh/sshd_config
MaxAuthTries=6 é alterado para MaxAuthTries=3 // É para alterar o login 6 vezes para login 3 vezes e depois desconectar, remova o # na frente
O firewall bloqueia o ataque a endereços IP
Visualize o log do usuário de login bem-sucedido: last -f /var/run/utmp ou last
Visualize o log do usuário de login com falha: last -f /var/log/btmp ou lastb
IP ban (é o que costumamos mais usar)
# firewall-cmd --permanent --add-rich-rule="família de regras='ipv4' endereço de origem='222.222.222.222' rejeitar" IP único # firewall-cmd --permanent --add-rich-rule=
" família de regras='ipv4' endereço de origem='222.222.222.0/24' rejeitar" segmento IP
# firewall-cmd --permanente --add-rich-rule="família de regras=endereço de origem ipv4=192.168.1.2 porta porta=80 protocol=tcp accept" Uma certa porta de um único IP
Isso é o que mais usamos. Bloquear um IP e uma porta rejeitar rejeitar aceitar permitir
recarregar para fazer efeito
firewall-cmd --reload
Ver IP banido
firewall-cmd --list-rich-rules
Use last -f /var/log/btmp para visualizar o efeito de bloqueio de IP da falha de login.
Depois de encontrar esses IPs, use o comando IP ban para bani-los