openSUSE15.0 SSH一直被暴力破解~~求解?


#1

新手自己建的openSUSE15.0 ~~ECS阿里云的SSH一直被暴力破解, 最多有一晚被试过5000多次…

上网查, 可以写一个脚本查看 /var/log/secure 来看登陆失败的次数添加到黑名单里头

但是/var/log里面却一直都没有这个挡案~~~@@

因此想请教该怎麽处里~~或是登陆失败的记录在哪里?~谢谢.


#2

装 fail2ban 并设置成开机启动就行了,多数发行版的 fail2ban 都是不需要配置就可以处理扫 SSH 的情况


#3

搬运一句话:
systemd 不用 /var/log/secure,用 journalctl -u sshd 看

https://forum.suse.org.cn/t/topic/10382/7?u=liangzi


#4

对付暴力破解我个人感觉 fail2ban 没什么用,说开了就是各种不同 ip 尝试登陆,这些 ip 不管对你还是对攻击者都是唾手可得的无用信息…我的 fail2ban 设置很严格了,可还是每次登陆都一百多次 login fail message。

最省心的还是换 ssh 端口禁用 root 远程登录外加普通用户使用 ssh key 登陆。


#5

阿里云有 openSUSE 15 吗?我只看到 42.3 啊。


#6

可以装 42.3 然后进系统升级的,我的阿里云都是 Tumbleweed :joy:


#7

大赞你这思路。。前两天阿里云的客服打电话过来,我还跟他说要提供新版本的 openSUSE 呢。结果只更新到 openSUSE 42.3.


#8

我很早就写在 wiki 上了:

https://zh.opensuse.org/SDB:Upgrade_Aliyun_ECS


#9

我的 VPS 就被肉鸡了一次。因为临时开了一个给别人只用几天,就设了个弱密码,结果24小时就被攻破了。这事也给我提了个醒,只要是放在网上的东西不管用多久都不要掉以轻心。


#10

我按照https://zh.opensuse.org/SDB:Upgrade_Aliyun_ECS的描述,备份了所有数据,然后从42.3升级到15.0,一切都很顺利,可是根本不需要恢复备份的数据,升级完成后重新启动,一切都ok,现在是不需要在备份和恢复了吗?


#11

42.3 -> 15.0 不像 13.2 ->,后者涉及到 eth0 变 ens3,就是用 systemd 之后网卡不持久化那个变动。所以网卡没变相关的网络备份和设置就不需要


#12

赞同苏姐的看法,现在这个时代 fail2ban 对主流的攻击已经完全没有抵抗力了。攻击者都会通过肉鸡或者 Tor 网络频繁更换 IP,因此基于 IP 黑名单的方法基本上都不好用了。

首先,禁用 root 登录是必须的。
其次,ssh 用户名不能采用 admin, website, shop 之类的通用名词。也不需要太长,像 iax,dikl,mak 这种在英文中不存在的词就好。

换端口是一种好的方法,注意防火墙规则也要一起改。防火墙默认的 ssh 服务就是 22 端口,改成随机某个端口的话,就要加一条这个端口规则。一般的暴力破解是不会扫描全部端口的。如果换了随机端口还被扫描到了,可能就是被盯上了。

防火墙不止可以限制哪个端口能访问,还能限制访问者的 IP 地址。假如你家和公司的 IP 地址总在一个段内,就可以设置 IP 白名单。这样外来的暴力破解根本连防火墙都过不了。

前四种方法是让坏人找不到突破口。

而 ssh key 登录就是被找到了用户名和端口,也破解不了密码。

这五种方法就是比较简单的组合,不需要更新维护,省心省力。


#13

我自己一直是禁用密码登录+fail2ban

禁用密码登录之后换不换端口其实我感觉区别不大了,用 fail2ban 主要是可以免得有些扫描器一直不停地重试,日志看着烦…


#14

我看IBM文档的时候 他们介绍了一种叫敲门砖的东西 平时关闭ssh端口 挺有意思的


#15

那个是 Port Knocking


#16

实际使用可能还是很蛋疼