阻止ssh暴力破解的核心是fail2ban与ssh安全配置结合;2. fail2ban通过监控日志、匹配失败尝试并自动封禁ip实现动态防御;3. 强化ssh需禁用密码认证、禁用root登录、修改默认端口、限制用户访问及认证次数;4. 实施时需备份配置、测试新设置、避免锁死自身,确保日志路径正确并合理设置封禁时长;5. 定期检查fail2ban状态和防火墙规则以确保防护有效,该策略可高效抵御自动化攻击但非万能。
要有效阻止SSH暴力破解,核心在于两点:一是动态地、自动化地封禁恶意IP,这正是Fail2Ban的拿手好戏;二是强化SSH自身的安全配置,从根本上提升认证难度和访问控制。两者结合,能构筑一道坚实的防线,让那些无休止的尝试变得徒劳。
解决方案
防止SSH暴力破解,我们通常会采用Fail2Ban配合SSH自身配置双管齐下的策略。Fail2Ban通过监控日志文件,一旦发现有IP地址在短时间内多次尝试SSH登录失败,就会自动将其IP地址加入防火墙的黑名单,从而阻止其进一步的恶意尝试。这就像给你的服务器门口装了个智能摄像头,发现可疑分子就直接关门。
具体的实现步骤包括:
安装 Fail2Ban:在Debian/Ubuntu系统上:
sudo apt update && sudo apt install fail2ban
在CentOS/RHEL系统上:
sudo yum install epel-release && sudo yum install fail2ban
配置 Fail2Ban:Fail2Ban的配置主要在
/etc/fail2ban/jail.conf
文件,但我们通常会创建一个
/etc/fail2ban/jail.local
文件来覆盖默认配置,这样在Fail2Ban升级时可以避免配置被覆盖。创建一个
jail.local
文件:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
编辑
jail.local
文件,找到
[sshd]
或
[sshd-ddos]
部分(如果存在),确保其被启用(
enabled = true
)。可以根据需求调整以下参数:
bantime
:IP被封禁的时间,单位秒(例如:
bantime = 1h
封禁1小时,
bantime = -1
永久封禁,但不推荐)。
findtime
:在多少秒内发现
maxretry
次失败尝试。
maxretry
:允许失败尝试的最大次数。例如:
[sshd]enabled = trueport = sshfilter = sshdlogpath = /var/log/auth.log # 或 /var/log/secure,取决于你的系统maxretry = 5bantime = 3600 # 封禁1小时findtime = 600 # 10分钟内
配置完成后,重启Fail2Ban服务:
sudo systemctl restart fail2ban
强化 SSH 配置:编辑SSH服务器配置文件
/etc/ssh/sshd_config
,进行以下关键设置:
禁用密码认证,仅使用密钥认证: 这是最强的防御措施。
PasswordAuthentication no
确保你已经设置并测试了SSH密钥登录,否则会把自己锁在外面。禁用Root用户直接登录:
PermitRootLogin no
如果需要root权限,先用普通用户登录,再使用
sudo
或
su
。更改默认SSH端口(可选但推荐):
Port 2222
(将2222替换为其他未被占用的端口,1024-65535之间)这虽然不是安全措施,但能大大减少扫描器的“噪音”,让你的日志更清爽。限制允许登录的用户:
AllowUsers yourusername anotheruser
只允许特定用户登录,拒绝所有其他用户。限制认证尝试次数:
MaxAuthTries 3
LoginGraceTime 30
修改
sshd_config
后,务必重启SSH服务:
sudo systemctl restart sshd
Fail2Ban 是如何识别并阻止恶意攻击的?
Fail2Ban的工作原理其实挺巧妙的,它并非什么高深莫测的人工智能,而是基于一种非常实用的模式识别。简单来说,它会持续地“盯”着你的系统日志文件,特别是那些记录认证尝试的日志(比如
/var/log/auth.log
或
/var/log/secure
)。它内置了一系列预定义的“过滤器”(filters),这些过滤器本质上就是正则表达式。
当一个IP地址尝试登录SSH,并且登录失败时,日志里就会留下相应的记录。Fail2Ban的过滤器会用这些正则表达式去匹配日志里的每一行。一旦某个IP地址在设定的
findtime
(例如10分钟)内,达到了
maxretry
(例如5次)的失败登录次数,Fail2Ban就会认定这个IP是恶意攻击者。
接着,它会执行预设的“动作”(actions),通常就是调用防火墙(如iptables)的命令,将这个恶意IP地址加入到防火墙的丢弃规则中。这样一来,这个IP在
bantime
(例如1小时)内就无法再连接到你的SSH服务了。时间一到,防火墙规则会自动移除,IP又可以尝试连接,但如果它继续恶意尝试,又会被再次封禁。这种自动化、反应式的防御机制,对于抵御大规模的自动化暴力破解攻击非常有效。它就像一个勤劳的门卫,虽然不会预测谁是坏人,但只要发现有人多次敲错门,就直接把他们请出去。
除了 Fail2Ban,SSH 还有哪些关键的安全配置可以强化防御?
我个人觉得,Fail2Ban更多是“事后惩罚”,而SSH自身的配置则是“事前预防”和“提高门槛”。两者结合起来,才能形成一个完整的防御体系。除了Fail2Ban,以下几个SSH配置项是强化服务器安全的关键:
Writer
企业级AI内容创作工具
176 查看详情
首先,禁用密码认证,强制使用SSH密钥登录是优先级最高的。密码再复杂也可能被暴力破解,或者通过其他方式泄露。SSH密钥则不同,它基于非对称加密,私钥留在本地,公钥放在服务器,没有私钥就无法登录,而且私钥还可以用密码短语加密,安全性极高。这是我个人最推荐的配置,它能从根本上杜绝密码暴力破解的可能性。
然后是禁用Root用户直接登录。Root用户拥有系统的最高权限,一旦被攻破后果不堪设想。我们应该始终使用普通用户登录,然后通过
sudo
命令来执行需要root权限的操作。这就像是把金库的钥匙分成了两把,一把在普通入口,另一把在更安全的内室。
更改SSH默认端口(22)虽然不能从根本上提升安全性,但它能显著减少日志中的“噪音”。大量的自动化扫描器只会扫描默认的22端口,当你把端口改掉后,这些扫描器就不会再来烦你,你的日志会干净很多,也更容易发现真正的异常。这就像是把你的门牌号换了,那些盲目敲门的就找不到你了。
再者,利用
AllowUsers
或
DenyUsers
指令来明确指定哪些用户可以登录SSH。这是一种非常精细的访问控制,能确保只有授权的用户才能尝试连接。如果你的服务器上有很多用户,但只有少数几个需要SSH访问权限,这个配置就非常有用了。
最后,可以调整
MaxAuthTries
和
LoginGraceTime
。
MaxAuthTries
限制了每个连接允许的认证尝试次数,比如设为3次,超过就断开连接。
LoginGraceTime
则限制了用户完成认证的时间,比如30秒,超时未认证也会断开。这些配置能在一定程度上减缓攻击者的尝试速度,并减少服务器在攻击期间的资源消耗。
实施这些安全策略时,有哪些常见的陷阱或需要注意的事项?
实施这些安全策略,特别是涉及到SSH访问权限时,最常见的“陷阱”就是把自己锁在外面。我踩过最大的坑就是修改
sshd_config
后,没有测试就直接重启SSH服务,结果发现新的配置有问题,导致自己无法登录,只能通过控制台或者其他应急方式进入服务器修复。所以,永远记住:
修改
sshd_config
前,务必备份原文件。
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
修改后,不要立即关闭当前SSH会话。 而是打开一个新的终端窗口,尝试用新配置登录。如果能成功登录,再关闭旧会话。如果不能,旧会话还在,你还有机会回滚配置。确保SSH密钥配置正确且已测试。 如果你禁用了密码认证,但SSH密钥没配置好或者私钥丢失,那就真的麻烦了。
对于Fail2Ban,有几个需要注意的点:
使用
jail.local
而非
jail.conf
。 这一点前面提过,但非常重要。直接修改
jail.conf
可能在Fail2Ban更新时被覆盖掉,导致你的自定义配置丢失。确认日志路径正确。 Fail2Ban需要监控正确的日志文件。不同的Linux发行版,SSH的认证日志路径可能不同(例如Debian/Ubuntu是
/var/log/auth.log
,CentOS/RHEL是
/var/log/secure
)。如果路径不对,Fail2Ban就无法工作。
bantime
的设置要合理。 封禁时间太短,攻击者可能很快又卷土重来;封禁时间太长,可能会误伤偶尔输错密码的合法用户,或者导致iptables规则过多影响性能。通常建议设置为1小时到24小时。定期检查Fail2Ban状态。 使用
sudo fail2ban-client status sshd
命令可以查看Fail2Ban的运行状态、被封禁的IP地址数量等信息,确保它正常工作。同时,也可以用
sudo iptables -L -n
来查看防火墙规则,确认IP是否被正确添加。
这些策略虽然能大幅提升安全性,但它们并非万能。它们主要针对自动化、大规模的暴力破解。对于更高级的攻击手段,比如社会工程学、0day漏洞等,还需要其他更全面的安全措施。但作为基础防御,它们无疑是高效且必要的。
以上就是使用 Fail2Ban + SSH 安全策略防止暴力破解的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/939728.html
微信扫一扫 
支付宝扫一扫 
