日期: 2021 年 6 月 28 日

记一次服务器被爆破 防护历程

在腾讯云搞了一个云主机, 安装了宝塔的服务, 第三天登陆 后台发现有两个ip在爆破root 密码, 虽然对自己的密码强度比较自信, 但是被人惦记也是很难受。决定做点什么 。。。。
直接进入正题:
1. *基本的建议就是:平时登陆和工作的时候都使用普通用户进行操作 直接禁用root 登陆ssh, 有很多hk都在恶意爆破 root shh 直接k掉。
在sshd_config中修改如下就可以了:

PermitRootLogin no

附: 添加普通用户

adduser user

gpasswd -a user sudo
// 添加用户,并且加入sudo组

2.直接了当的方法, ssh秘钥, 具体操作方法 直接上大佬的 博客
自己写的也不清楚, 参照一下大佬。

3.DenyHosts : 个人认为是比较高效的,针对密码爆破的防护工具 具体安装 不再多写。
4.推荐一些关于ssh 的 东西吧
http://www.ibm.com/developerworks/cn/aix/library/au-sshsecurity/ IBM的各种介绍
http://erik-2-blog.logdown.com/posts/74081-ssh-principle SSH原理
http://skypegnu1.blog.51cto.com/8991766/1641064 SSH原理和基本使用
http://zhezhang.co/2015/01/deploy-ghost-on-digitalocean/ 部署ghost
http://blog.csdn.net/oncoding/article/details/4365062 SSH连接过程
https://blog.urfix.com/25-ssh-commands-tricks/ SSH小技巧
http://spenserj.com/blog/2013/07/15/securing-a-linux-server/ Securing a Linux Server 对服务器整体的安全提供方案。
http://www.lovelucy.info/vps-anti-ssh-login-attempts-attack.html 防爆破
https://mos.meituan.com/library/?tag=Ubuntu 美团云知识库
http://wiki.ubuntu.org.cn/OpenSSH%E9%AB%98%E7%BA%A7%E6%95%99%E7%A8%8B openssh 高级设置
https://www.linux.com/learn/advanced-ssh-security-tips-and-tricks linux.com文章
http://tool.oschina.net/commons?type=7 TCP/UDP常见端口
http://tool.chinaz.com/port/ 通过扫描工具查看自己的服务器端口开放状态

防止云服务器被爆破的一些措施

防止云服务器被爆破的措施
修改SSH登录端口
禁用root用户
友情提示
结语
*近频繁接收到云服务器告警信息,提示被暴力破解登录,由于本人懒惰,没有搭理,第二日IP被冻结!!!尴尬!!!为了防止再次被破解,加了一层简单的防护措施!

修改SSH登录端口
# 将#Port 22去掉#,修改为10000后的端口号,保存并退出
vi /etc/ssh/sshd_conf
:wq
# 重启SSH服务
systemctl restart sshd.service

禁用root用户
当然,修改端口有一定的作用,可以躲过一些广撒网式攻击,但由于有扫描端口的工具存在,ssh服务的端口经过扫描就会被发现,所以还需要进一步加强安全 —— 禁用root用户。

# 禁用root用户前当然还需要新建一个用户
adduser 用户名
# 修改用户密码(别太弱哦!!!)
password 用户名
# 修改新建用户的权限,先把权限文件的权限变成可编辑
chmod -v u+w /etc/sudoers
# 修改权限文件
vim /etc/sudoers
# 在文件*下方添加如下内容,为新账号添加权限后,保存并退出
用户名 ALL = (ALL) ALL
:wq
# *后为了安全,把权限配置文件的可编辑权限取消
chmod -v u-w /etc/sudoers
# 开始禁用root账号,在SSH服务的配置文件中,把root的远程登录权限禁止
# 将#PermitRootLogin yes去掉#,并将yes改为no,保存并退出
vi /etc/ssh/sshd_conf
:wq

友情提示
我的云服务之所以被爆破成功,客服的答复是某些数据库设置了弱密码,所以注意这些安全措施。
大家也可以不时使用lastb命令,看看电脑是否被人尝试远程登录。
lastb:显示远程登录失败的记录
用w命令看看当前是否其他人远程登录到服务器
%title插图%num

果然,我的云服务器仍然有人在使用root用户进行爆破,直接在云控制台将这些IP添加黑名单

结语
把root账号禁用了,使用自己创建的账号,基本就可以排除服务器被暴力破解的可能性了,但仍要注意不要在服务器中打开可疑的程序,或者安装来源不安全的软件,版本比较旧的软件也不要使用(有些旧版本软件有网上流传的安全漏洞),不同服务器间也*好使用规律不同的账号密码,某些数据库的密码不要太弱等;不然再万全的措施也会被攻破。