给主机/树莓派做防护

给主机/树莓派做防护

更换ssh端口号

我这次遇到的攻击是企图暴力破解root密码,更换个端口号会增大很多难度。
修改/etc/ssh/sshd_config,搜索Port 22,随便成一个你喜欢的数字。。
然后重启ssh,service sshd restart

注意:/etc/ssh下有一个ssh_config的文件,注意是修改sshd_config,不是ssd_config

创建新用户,屏蔽root用户登录

# 创建用户
useradd 用户名
# 修改密码
passwd 用户名
# 加权限
usermod -g root 用户名

修改/etc/ssh/sshd_config,搜索PermitRootLogin yes,改成PermitRootLogin no.
重启sshd服务
然后以后用新建的用户登录。

黑名单

定时扫描/var/log/secure日志,发现有多次尝试用户名密码登录的ip,加入hosts.deny
扫描日志脚本如下:

#!/bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /root/black.txt
# 定义攻击次数,2次密码输错就视为攻击
DEFINE="2"
for i in `cat ./black.txt`
do
IP=`echo ${i}|awk -F= '{print $1}'`
NUM=`echo ${i}|awk -F= '{print $2}'`
if [ ${NUM} -gt ${DEFINE} ];then
sed -i '/'${IP}'/d' /etc/hosts.deny
if [ $? > 0 ];then
echo "sshd:$IP:deny" >> /etc/hosts.deny
fi
fi
done

暂时命名为scan_attack.sh,加权限。
定时设置如下(每分钟扫描一次):

crontab -e
* * * * * /to/path/scan_attack.sh

至此本次防御工作就全部结束了。当然也可以配置白名单,但是每次到新环境上网都要改觉得比较麻烦。

原创文章,作者:bi4jgm,如若转载,请注明出处:https://showdoi.com/1852.html

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注