关于SSH暴力破解

SSH暴力破解大约自linux系列产品诞生之后，就衍生出来的一种攻击行为，不仅仅SSH暴力破解，ftp、telnet、smtp、mysql等等都是暴力美学黑客的最爱。

国外安全研究者做了个统计，他们搭建了一台蜜罐服务器，该服务上安装了修改后的SSHD版本，记录所有的登陆尝试和存储的所有会话，一旦被黑客攻击，可以查看到所有暴力破解尝试记录。

与往年不同，在十年前，一台服务器放在网络上，大概数周的时间才会被黑客光顾，现在一台服务器在网络中，在几个小时之内，就会有黑客开始进行攻击尝试了。

以上引自于网络@

这几天作为个人开发者,自己部署了一台云服务器,自认为阿里的云盾保护还比较放心,但是某下午,突然收到一条短信说是,服务器异地登录了,吓尿了,如果真的是黑客入侵,也算庆幸项目还没有正式运作,赶忙把防火墙开了,只开启用到的端口,进WDCP管理后台设置了禁ping,如果真的暴力破解了SSH ROOT登录密码就完蛋了,那不随心所欲了,接下来要针对SSH端口做一些加固防护

网上了也总结了几点

1、使用SSH密钥，禁用口令认证，如果不能做到这一点，务必使用强壮的密码。
2、登陆IP白名单。
3、更改服务器ssh端口。
4、使用snort、ossec等开源的入侵检测设备保护服务器。

我做了一下几点

1.默认SSH端口是22,这样黑客扫描到端口的机率会大大减小,至少10000以上,好吧我改到了10000+,我可不想当肉鸡

2.防火墙打开,能少开端口就少开端口

3.禁止ping

4.不允许root登录ssh

注意端口修改后,服务器的防火墙要变一下,同时本地ssh的端口也要统一,本地修改

vim /etc/ssh/ssh_config

本地ssh localhost可以看被拒绝没有,否则修改本地防火墙

sudo ufw allow 10010 //允许
sudo ufw status //查看状态
sudo ufw deny 10010 //禁止

这里还有需要优化的(限制ip登录),目前,我每次开机,IP都是动态在变,优化成固定ip,这样在服务器设置到白名单,就非常保险了

重点: 网上还谈到了非常重要的一点<使用证书登录 SSH>,这个还没尝试,试试看!

今天,这条短信给了我警醒,你在破别人的时候,别人也在破你~

安全问题不容小觑~

用到公钥登录时会把公钥pub文件拷贝到远程主机~

如何传递呢?

不同的Linux之间copy文件常用有3种方法：

第一种就是ftp，也就是其中一台Linux安装ftp Server，这样可以另外一台使用ftp的client程序来进行文件的copy。

第二种方法就是采用samba服务，类似Windows文件copy 的方式来操作，比较简洁方便。

第三种就是利用scp命令来进行文件复制。

scp是有Security的文件copy，基于ssh登录。操作起来比较方便，比如要把当前一个文件copy到远程另外一台主机上，可以如下命令。

scp /home/soft/xxxxx.tar.gz root@172.19.1.21:/home/root

然后会提示你输入另外那台172.19.1.21主机的root用户的登录密码，接着就开始copy了。

如果想反过来操作，把文件从远程主机copy到当前系统，也很简单。

今天验证了一下公钥登录,可行~

本地生成公钥和私钥,然后用scp命令将公钥拷贝到服务器的

~/.ssh/authorized_keys里头,注意这是一个文件

修改/etc/ssh/sshd_config,开启RSA权限密钥验证登录,注意我用的是RSA加密

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile    ~/.ssh/authorized_keys

好了,客户端登录会弹出一个框,输入私钥密码(第一次登录会要求输入,后面就不会了),就可以登录了,对了禁止密码登录哦