最近在一次登錄伺服器時,系統提示多次登錄失敗:There were xxx failed login attemps since the last successful login. 作為小白的我第一次遇到,雖說沒什麼損失,也藉此也學習一下應對方法。為方便以後使用,在此做簡單的整理記錄。 SSH暴力 ...
最近在一次登錄伺服器時,系統提示多次登錄失敗:There were xxx failed login attemps since the last successful login.
作為小白的我第一次遇到,雖說沒什麼損失,也藉此也學習一下應對方法。為方便以後使用,在此做簡單的整理記錄。
SSH暴力破解攻擊
是一種通過遍歷枚舉的用戶名(尤其是一些常用、慣用的用戶名)、密碼字典對遠程登錄設備(如:雲伺服器)進行嘗試登錄,來竊取設備許可權,以獲取非法利益的網路攻擊手段(個人見解,參考:https://cloud.tencent.com/developer/article/1159622)。
應對該問題有多種方法:更換ssh埠、使用安全組限制入流ip、使用fail2ban、denyhosts等工具。
在這裡只對本人使用Denyhosts工具的過程做描述。
Dneyhosts介紹
Denyhosts是一個由Linux系統管理員運行,用來阻止SSH伺服器攻擊的python腳本(參考:Denyhosts官網http://denyhosts.sourceforge.net/)。
在伺服器安全日誌(Centos:/var/log/secure;Ubutun:/var/log/auth.log)里,可以查看到訪問伺服器的記錄。在受到不明IP多次訪問時,我們可以通過將允許訪問的IP添加至系統白名單(/etc/hosts.allow),或者將禁止的IP添加到黑名單(/etc/hosts.deny),來限制訪問伺服器的IP;但是攻擊者一般都是通過不同IP對伺服器進行訪問,這樣就對阻止攻擊造成很大的麻煩。Dneyhosts就是一個自動查看分析安全日誌,將符合設定禁止條件的IP添加到/etc/hosts.deny的腳本程式。
Dneyhosts手動安裝(基於centos7系統)
一、下載denyhosts源碼
wget http://github.com/denyhosts/denyhosts/archive/v2.10.tar.gz tar -zxvf v2.10.tar.gz
二、安裝denyhosts
cd denyhosts-2.10 python setup.py install #註:由於denyhosts基於python2,若同時安裝了python3,請註意python運行環境
三、修改配置
安裝完後,會在/usr/bin文件下生成daemon-control-dist 和denyhosts.py兩個文件,預設生成/etc/denyhosts.conf配置文件。
vim /etc/denyhosts.conf #修改配置文件
修改內容:
########################################################################
#
# SECURE_LOG: the log file that contains sshd logging info
# if you are not sure, grep "sshd:" /var/log/*
#
# The file to process can be overridden with the --file command line
# argument
# 不同系統的日誌文件名有差異
# Redhat or Fedora Core:
SECURE_LOG = /var/log/secure #修改日誌文件路徑指向以適合當前系統(centos7)
#
# Mandrake, FreeBSD or OpenBSD:
#SECURE_LOG = /var/log/auth.log
#
# SuSE or Gentoo:
#SECURE_LOG = /var/log/messages
#
# Mac OS X (v10.4 or greater -
# also refer to: http://www.denyhost.net/faq.html#macos
#SECURE_LOG = /private/var/log/asl.log
#
# Mac OS X (v10.3 or earlier):
#SECURE_LOG=/private/var/log/system.log
#
# Debian and Ubuntu
#SECURE_LOG = /var/log/auth.log
########################################################################
######################################################################
#
# LOCK_FILE
#
# LOCK_FILE=/path/denyhosts
# If this file exists when DenyHosts is run, then DenyHosts will exit
# immediately. Otherwise, this file will be created upon invocation
# and deleted upon exit. This ensures that only one instance is
# running at a time.
# 不同系統有差異
# Redhat/Fedora:
LOCK_FILE = /var/lock/subsys/denyhosts #防止denyhosts多次運行,修改文件路徑以適合當前系統(centos7)
#
# Debian or Gentoo
#LOCK_FILE = /run/denyhosts.pid
#
# Misc
#LOCK_FILE = /tmp/denyhosts.lock
#
######################################################################
# format is: i[dhwmy] # Where i is an integer (eg. 7) # m = minutes # h = hours # d = days # w = weeks # y = years # # never purge: PURGE_DENY = #過多久後清除已阻止IP HOSTS_DENY = /etc/hosts.deny #將阻止IP寫入到hosts.deny BLOCK_SERVICE = sshd #阻止服務名 PURGE_THRESHOLD = #定義了某一IP最多被解封多少次。某IP暴力破解SSH密碼被阻止/解封達到了PURGE_THRESHOLD次,則會被永久禁止; DENY_THRESHOLD_INVALID = 1 #允許無效用戶登錄失敗的次數 DENY_THRESHOLD_VALID = 10 #允許普通用戶登錄失敗的次數 DENY_THRESHOLD_ROOT = 5 #允許root登錄失敗的次數 WORK_DIR = /var/lib/denyhosts #將deny的host或ip紀錄到Work_dir中 DENY_THRESHOLD_RESTRICTED = 1 #設定 deny host 寫入到該資料夾 LOCK_FILE = /var/lock/subsys/denyhosts #將DenyHOts啟動的pid紀錄到LOCK_FILE中,已確保服務正確啟動,防止同時啟動多個服務。 HOSTNAME_LOOKUP=NO #是否做功能變數名稱反解 ADMIN_EMAIL = #設置管理員郵件地址 DAEMON_LOG = /var/log/denyhosts #DenyHosts日誌位置
根據自己的需求修改配置
四、設置denyhosts服務啟動程式
將運行主程式放在/etc/init.d/下並改名為denyhosts
cp /usr/bin/daemon-control-dist /etc/init.d/denyhosts vim /etc/init.d/denyhosts #修改文件匹配denyhosts配置文件
修改內容如下:
############################################### #### Edit these to suit your configuration #### ############################################### DENYHOSTS_BIN = "/usr/bin/denyhosts.py" #安裝時denyhosts.py生成路徑 DENYHOSTS_LOCK = "/var/lock/subsys/denyhosts" #/etc/denyhosts.conf配置文件LOCK_FILE指定路徑 DENYHOSTS_CFG = "/etc/denyhosts.conf" PYTHON_BIN = "/usr/bin/env python" ############################################### #### Do not edit below #### ###############################################
至此denyhosts工具安裝完成。
建議:在啟動denyhosts服務之前先瞭解啟動後可能帶來的問題(誤封常用的IP,詳見下文)。
五、啟動denyhosts服務
啟動命令
/etc/init.d/denyhosts start
或者
service denyhosts start service tdenyhosts status #可查看denyhosts服務是否運行(顯示"DenyHosts is running with pid = xxxx"說明啟動成功)
加入開機啟動
chkconfig --add denyhosts
chkconfig denyhosts on
(內容參考:https://www.iteait.com/archives/659)
誤封常用IP問題
在啟動服務之前常常忽略一個問題,denyhosts啟動後會遍歷安全日誌文件/var/log/secure(centos系統)中所有記錄IP,只要符合配置條件的IP都會被記錄,因此,自己常用的IP也有可能被加入到系統IP黑名單(/etc/hosts.deny),導致自己也無法登錄伺服器(心態崩了呀~~~~)。
解決辦法:
啟動前:
從安全日誌文件里將自己常用的IP所在行刪除,刪除文件指定行命令請自行查詢(sed命令,sed -i -e '/string/d' filename,僅作參考)
啟動後(已正常無法ssh登錄伺服器):
首先你需要更換網路登錄伺服器,
接下來就是查看被封IP所在的記錄文件並刪除:
vim /var/log/secure #安全日誌文件
vim /etc/hosts.deny #系統禁止IP文件
cd /var/lib/denyhosts vim hosts vim hosts-root vim hosts-restricted vim hosts-valid vim users-invalid vim users-hosts #配置文件里預設的工作目錄(WORK_DIR = /var/lib/denyhosts) #批量刪除文件包含指定內容所在行請自行查詢(sed命令)
如果不在意其他記錄,可清空這些文件(不推薦)
按照常理刪除這些記錄,系統應該就解禁了指定IP,但此時該IP還是不能訪問伺服器(why? why? why? 然後各種翻配置文件,記錄文件,查看有什麼遺漏,在配置文件里發現denyhosts有自己的日誌文件 DAEMON_LOG = /var/log/denyhosts)
在denyhosts的日誌里有這樣的記錄:
2020-07-27 11:20:38,664 - denyhosts : INFO Creating new firewall rule /sbin/iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP 2020-07-27 11:20:38,677 - denyhosts : INFO new denied hosts: ['xxx.xxx.xxx.xxx']
抱著學習的態度瞭解了一下iptables(https://wangchujiang.com/linux-command/c/iptables.html),denyhosts不僅將IP添加到了黑名單,也新添加了防火牆規則,阻止該IP數據包輸入。
所以除了將上述文件中的IP記錄刪除之外,還得在防火牆中刪除對該IP限制的規則:
iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP
登錄成功!
(歡迎在評論區交流學習,糾錯指正!)
