全自动化的防御方法sshd被攻击
核心提示:你见过sshd服务通过暴力破解的纠缠有些人可能会说我只允许我们公司的IP登录,但当公司使用ADSL拨号模式时,它无法识别IP源上网时…你见过sshd服务通过暴力破解的纠缠有些人可能会说我只允许我们公司的IP登录,但当公司使用ADSL拨号模式时,它无法识别IP源上网时。当然,如果该公司使用固定IP,它将被忽略。
本文只提供了一种方法,适用于世卫组织,适用于什么环境,或者自己做。
我的系统是CentOS5.4,与Swatch的工具帮助实现自动防御,全自动化,自动封锁IP攻击,并重新打开一个指定的时间后,这个过程是完全自动的。
1。安装样本
百胜餐饮集团-- enablerepo =测量样本#安装
这个版本应该是> = 3.2.3
在使用3.1.1版,有一个小问题
2。创建配置文件
#触摸~ /。swatchrc
# Vim ~ /。swatchrc
因为sshd服务日志文件 / / /安全风险日志,添加配置项的监控,如下
#
#坏的登录尝试
进行/ sshd。+失败的密码({ }从0-9 + 。{ 0-9 } + 。{ 0-9 } + 。{ } + 0-9) / 1
回声洋红
贝尔1
执行 /根/ swatch.sh 1美元
保存并退出
三.在检测到攻击后创建一个处理脚本
#触摸 / / swatch.sh根
# VIM / / swatch.sh根
添加以下脚本:
# /斌/ SH!
IP = 1美元
echo IP > > / / sshd_blocked_ip_list根
/ / iptables就是我输入的$ IP-p tcp -运动22 J滴
/ usr /斌/在现在+ 1 / sbin / iptables小时- D输入的IP -p tcp --dport美元——22 J滴
修改脚本文件的权限
# chmod u + X /根/ swatch.sh
4。运行样本
/ usr /斌/样本T / / / var日志安全守护#
注:
攻击者的IP被记录在sshd_blocked_ip_list
您还可以通过查看防火墙规则来查看正在被拦截的IP。
# iptables - L - N
自动清除的计划任务
# ATQ
到目前为止,一个sshd蛮力的自动防御系统已经完成。由于在监视日志时可能会出现延迟,所以防火墙规则中可能有不止一条相同的规则,但不会影响函数。
我希望能帮助你!
本文来源于博客。