防止SSH暴力破解及锁定文件系统
2018-11-26 10:02
197 查看
新入职没到两个月Linux服务器就出现问题了。给外国***ssh暴力破解,然后安装挖矿病毒,导致cpu满了,远程都链接不上,只能重装系统,重装完系统自己写了一个防止暴力破解的脚本设置了定时任务,锁定了关键的文件。
查看/var/log/secure 文件可以看到很多认证失败的Failure的ip登录信息。所以想到根据secure文件查看失败的ip如果超过五次,那么就把此ip写入/etc/hosts.deny文件,禁止此ip登录。我用了第一种方法,设置了定时任务,每分钟执行一次。执行之后,查看secure文件就没有那么多失败的信息日志输出了。
1、
收集 /var/log/secure 里面的信息,若是某个IP 链接次数超过一定次数 ,则把此ip记录到/etc/hosts.deny里面。
通过crontab来执行,每分钟执行一次。
*/1 * * * * /bin/bash /root/jackhosts/jackhosts.sh #!/bin/bash #jackhosts SHELL SCRIPT cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"=" $1;}' >/root/jackhosts/jackhosts.txt DEFINE="5" for i in `cat /root/jackhosts/jackhosts.txt` do IP=`echo $i|awk -F= '{print $1}'` NUM=`echo $i|awk -F= '{print $2}'` if [ $NUM -gt $DEFINE ] then ipExists=`grep $IP /etc/hosts.jack |grep -v grep |wc -l` if [ $ipExists -lt 1 ] then echo "sshd:$IP" >> /etc/hosts.jack fi fi
2、
锁定关键文件系统
复制代码
加锁,不可修改加锁文件
[root@jokerpro ~]# chattr +i /etc/passwd
[root@jokerpro ~]# lsattr /etc/passwd
----i--------e-- /etc/passwd
去锁,可以修改文件
[root@jokerpro ~]# chattr -i /etc/passwd
[root@jokerpro ~]# lsattr /etc/passwd
-------------e-- /etc/passwd
复制代码
使用chattr命令后,为了安全我们需要将其改名xg,反正改了之后自己需要记住这个命令修改过了以后好查询。
mv /usr/bin/chattr /usr/bin/xg
相关文章推荐
- linux系统,使用Denyhosts防止ssh暴力破解.
- fail2ban安装教程,防止ssh和ftp密码被暴力破解
- Ubuntu安装denyhosts防止暴力破解远程SSH
- linux 防止ssh暴力破解密码
- Debian vps使用DenyHosts防止SSH密码暴力破解
- 防止暴力破解ssh远程连接
- 开源服务专题之------ssh防止暴力破解及fail2ban的使用方法
- Linux----利用hosts.deny 防止暴力破解ssh
- fail2ban-防止用户暴力破解ssh工具
- denyhost防止SSH暴力破解、机器扫描、密码猜测
- 树莓派保卫战--防止SSH暴力破解
- Fail2ban防止SSH暴力破解
- denyhost防止SSH暴力破解
- linux安全---利用DenyHosts防止ssh暴力破解
- 开源服务专题之------ssh防止暴力破解及fail2ban的使用方法
- linux防止ssh远程暴力破解的方法和fail2ban软件的配置应用
- 《超级优化锁定系统重要系统文件防止篡改》
- denyhost防止SSH暴力破解
- denyhost防止SSH暴力破解、机器扫描、密码猜测
- ssh配置密钥对无交互登录、防止暴力破解、xinetd服务