新手自己建的openSUSE15.0 ~~ECS阿里云的SSH一直被暴力破解, 最多有一晚被试过5000多次…
上网查, 可以写一个脚本查看 /var/log/secure 来看登陆失败的次数添加到黑名单里头
但是/var/log里面却一直都没有这个挡案~~~@@
因此想请教该怎麽处里~~或是登陆失败的记录在哪里?~谢谢.
装 fail2ban 并设置成开机启动就行了,多数发行版的 fail2ban 都是不需要配置就可以处理扫 SSH 的情况
对付暴力破解我个人感觉 fail2ban 没什么用,说开了就是各种不同 ip 尝试登陆,这些 ip 不管对你还是对攻击者都是唾手可得的无用信息…我的 fail2ban 设置很严格了,可还是每次登陆都一百多次 login fail message。
最省心的还是换 ssh 端口禁用 root 远程登录外加普通用户使用 ssh key 登陆。
2赞
阿里云有 openSUSE 15 吗?我只看到 42.3 啊。
可以装 42.3 然后进系统升级的,我的阿里云都是 Tumbleweed 
1赞
大赞你这思路。。前两天阿里云的客服打电话过来,我还跟他说要提供新版本的 openSUSE 呢。结果只更新到 openSUSE 42.3.
我的 VPS 就被肉鸡了一次。因为临时开了一个给别人只用几天,就设了个弱密码,结果24小时就被攻破了。这事也给我提了个醒,只要是放在网上的东西不管用多久都不要掉以轻心。
我按照https://zh.opensuse.org/SDB:Upgrade_Aliyun_ECS的描述,备份了所有数据,然后从42.3升级到15.0,一切都很顺利,可是根本不需要恢复备份的数据,升级完成后重新启动,一切都ok,现在是不需要在备份和恢复了吗?
42.3 -> 15.0 不像 13.2 ->,后者涉及到 eth0 变 ens3,就是用 systemd 之后网卡不持久化那个变动。所以网卡没变相关的网络备份和设置就不需要
赞同苏姐的看法,现在这个时代 fail2ban 对主流的攻击已经完全没有抵抗力了。攻击者都会通过肉鸡或者 Tor 网络频繁更换 IP,因此基于 IP 黑名单的方法基本上都不好用了。
首先,禁用 root 登录是必须的。
其次,ssh 用户名不能采用 admin, website, shop 之类的通用名词。也不需要太长,像 iax,dikl,mak 这种在英文中不存在的词就好。
换端口是一种好的方法,注意防火墙规则也要一起改。防火墙默认的 ssh 服务就是 22 端口,改成随机某个端口的话,就要加一条这个端口规则。一般的暴力破解是不会扫描全部端口的。如果换了随机端口还被扫描到了,可能就是被盯上了。
防火墙不止可以限制哪个端口能访问,还能限制访问者的 IP 地址。假如你家和公司的 IP 地址总在一个段内,就可以设置 IP 白名单。这样外来的暴力破解根本连防火墙都过不了。
前四种方法是让坏人找不到突破口。
而 ssh key 登录就是被找到了用户名和端口,也破解不了密码。
这五种方法就是比较简单的组合,不需要更新维护,省心省力。
1赞
我自己一直是禁用密码登录+fail2ban
禁用密码登录之后换不换端口其实我感觉区别不大了,用 fail2ban 主要是可以免得有些扫描器一直不停地重试,日志看着烦…
1赞
我看IBM文档的时候 他们介绍了一种叫敲门砖的东西 平时关闭ssh端口 挺有意思的
那个是 Port Knocking
实际使用可能还是很蛋疼
ssh server 只 listen 127.0.0.1
然后找个链路加密的端口转发工具, 转发到127.0.0.1:22