方法一:
密码足够复杂
密码的长度要大于8位,最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字符和特殊字符混合组成。
修改默认ssh端口
使用iptables关闭不需要使用的端口
sshd 默认端口号:22
vim /etc/ssh/sshd_config
#Port 22
Port 81
service sshd restart
3.使用扫描工具,对主机查看开放哪些端口。
yum install nmap
nmap 192.168.103.117
4.不使用root用户名登录,这样可以黑客猜不到你的用户名,也就无法暴力破解
不使用root用户,但需要拥有root权限,下面有两种方法:
前提是不让root用户登录,root用户的/bin/bash 改成 /sbin/nologin
(1)把bob用户的uid和gid都改成0,让bob用户拥有root权限。这样bob用户也拥有root权限,但和root本身的区别是,他们的家目录不一样,登录进去都是#,权限是一样的。
(2)也可以给用户拥有sudo权限
visudo 或者 vi /etc/sudoers
root ALL=(ALL) ALL
bob ALL=(ALL) ALL
5.用户登录可以让他们使用密钥登录,密钥上也设置密码。
使用方法在本人博文里面查找。
6.防止暴力破解
案例:最近公司网络一直被人暴力破解sshd服务密码,虽然没有成功,但会导致系统负载很高,原因是在暴力破解的时候,系统会不断认证用户,从而增加了系统资源额外开销,导致公司网络很慢。
工具介绍:fail2ban可以监视你的系统日志,然而匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般下是防火墙),而且可与i发送email通知系统管理员,功能很强大。
fail2ban运行机制:简单来说其功能就是防止暴力破解,工作原理是通过分析一定时间内的相关服务日志,将满足动作的相关ip利用iptables加入到dorp(丢弃)列表一定时间。
设置条件:ssh远程登录5分钟内3次密码验证失败,禁止用户ip访问主机1小时,1小时后该限制自动解除。
软件包下载:
https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz
安装步骤:
wget https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz
tar zxvf 0.9.4.tar.gz
cd fail2ban-0.8.14
一般安装步骤在README.md里面能找到。
vim README.md
To install, just do:
tar xvfj fail2ban-0.9.4.tar.bz2
cd fail2ban-0.9.4
python setup.py install
需要安装python开发环境,并且版本要大于2.4的
查看python版本
python -V
安装:
phthon setup.py install
vi /etc/fail2ban/jail.conf
.....待续
本文出自 “IT阿宝” 博客,请务必保留此出处http://907832555.blog.51cto.com/4033334/1943472
原文地址:http://907832555.blog.51cto.com/4033334/1943472
