VPS安全配置

Linux

Linux上通过lastb可以查看到登录失败的日志

[root@xxxx ~]# lastb
root     ssh:notty    60.173.82.156    Mon Mar 12 06:11 - 06:11  (00:00)    
root     ssh:notty    60.173.82.156    Mon Mar 12 06:11 - 06:11  (00:00)    
root     ssh:notty    60.173.82.156    Mon Mar 12 06:11 - 06:11  (00:00)    
root     ssh:notty    60.173.82.156    Mon Mar 12 06:11 - 06:11  (00:00)    
root     ssh:notty    60.173.82.156    Mon Mar 12 06:11 - 06:11  (00:00)    
root     ssh:notty    60.173.82.156    Mon Mar 12 06:10 - 06:10  (00:00)    
zhangjun ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
zhangjun ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
centos   ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
centos   ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
hadoop   ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
hadoop   ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
centos   ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
centos   ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:50 - 04:50  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
cgc-admi ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
cgc-admi ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
slide    ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
slide    ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
nagios   ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
nagios   ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:49 - 04:49  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
sshusr   ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
sshusr   ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)    
root     ssh:notty    124.68.10.20     Mon Mar 12 04:48 - 04:48  (00:00)

通过上方显示的结果,有很多机器人在尝试进行登录密码破解.
通过查看/var/log/secure文件,里面基本都是一下数据记录:

Failed password for root from 124.68.10.20 port 41866 ssh2
Received disconnect from 124.68.10.20 port 41866:11: Bye Bye [preauth]
Disconnected from 124.68.10.20 port 41866 [preauth]
password check failed for user (root)

统计有多少ip进行过访问:

grep "Failed password for invalid" /var/log/secure | awk '{print $13}' | sort | uniq -c | sort -nr | more
   1359 114.32.120.181
     65 35.200.66.214
     36 139.219.109.16
     21 124.68.10.20
     20 185.165.29.183
     18 159.203.36.151
     16 41.77.222.57
     16 125.234.109.148
     15 173.249.29.134
     14 58.210.42.4
     12 51.15.94.6
     10 180.100.217.214
      6 218.154.96.152
      6 211.229.133.133
      6 14.116.254.48
      6 104.192.1.30
      5 5.101.40.10
      4 220.191.194.22
      3 111.7.177.239
      2 5.101.0.51
      2 42.200.170.177
      2 213.219.154.68
      2 188.6.164.245
      2 173.249.15.111
      1 77.49.135.119
      1 58.56.161.30
      1 46.246.39.197
      1 42.82.183.121
      1 41.236.241.147
      1 222.187.225.194
      1 178.151.27.227
      1 175.33.195.179
      1 159.226.169.49
      1 14.231.241.207
      1 116.231.36.138
      1 113.163.198.137

统计有多少用户名尝试登录(root用户名统计方式不一样，此处未做统计):

grep "Failed password for invalid" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
    141 admin
     42 test
     40 oracle
     37 user
     29 postgres
     29 joe
     27 webuser
     27 webadmin
     27 web
     27 userftp
     27 user2
     27 tsserver
     27 ts3server
     27 ts3
     27 ts
     27 testuser
     27 teste
     27 teamspeak3
     27 teamspeak
     27 system
     27 sys
     27 student
     27 search
     27 scott
     27 rustserver
     27 reporter
     27 packer
     27 mcserver
     27 matrix
     27 jenkins
     27 itadmin
     27 gpadmin
     27 exploit
     27 elasticsearch
     27 elastic
     27 csgoserver
     26 wp-user
     26 wp-admin
     26 wp
     26 user3
     26 user1
     26 tomcat
     26 sshvpn
     26 sinusbot
     26 python
     26 bot
     26 bash
     26 apache
     25 sentry
     24 test1
     14 mod
      9 centos
      9 butter
      7 pi
      6 SP35
      6 guest
      5 vbox
      5 ubnt
      4 transfer
      4 testing
      4 support
      4 grid
      4 ec2-user
      3 zabbix
      3 ubuntu
      3 temp
      3 telnet

安全防范:

修改ssh端口,禁止root登录,使用ssh_key登录,禁止空密码等设置如下
编辑/etc/ssh/sshd_config文件,修改以下配置

Port 6666 #随意修改一个端口
PermitRootLogin no #禁止root登录
RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码
UsePAM no #禁用PAM

/etc/init.d/ssh restart # 重启ssh服务

使用denyhosts
DenyHosts是针对SSH服务器的一个基于日志的入侵预防安全工具，是用Python编写的。其通过监测身份验证登录日志中失败的登录尝试，屏蔽这些登录者的IP地址，从而预防对SSH服务器的暴力破解。
通过各个系统的包管理器就可以安装:

$ yum install denyhosts

denyhosts的相关配置项(/etc/denyhosts.conf),如下:

SECURE_LOG = /var/log/secure #ssh 日志文件,系统不同,文件不相同
HOSTS_DENY = /etc/hosts.deny #控制用户登陆的文件
PURGE_DENY = #过多久后清除已经禁止的，空表示永远不解禁
BLOCK_SERVICE = sshd #禁止的服务名，如还要添加其他服务，只需添加逗号跟上相应的服务即可
DENY_THRESHOLD_INVALID = 5 #允许无效用户失败的次数
DENY_THRESHOLD_VALID = 10 #允许普通用户登陆失败的次数
DENY_THRESHOLD_ROOT = 1 #允许root登陆失败的次数
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts #运行目录
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES #是否进行域名反解析
LOCK_FILE = /var/run/denyhosts.pid #程序的进程ID
ADMIN_EMAIL = root@localhost #管理员邮件地址,它会给管理员发邮件
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts <nobody@localhost>
SMTP_SUBJECT = DenyHosts Report
AGE_RESET_VALID=5d #用户的登录失败计数会在多久以后重置为0，(h表示小时，d表示天，m表示月，w表示周，y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
RESET_ON_SUCCESS = yes #如果一个ip登陆成功后，失败的登陆计数是否重置为0
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
DAEMON_SLEEP = 30s #当以后台方式运行时，每读一次日志文件的时间间隔。

启动命令（yum安装，已默认配好）

service denyhosts start
service denyhosts stop
service denyhosts status

加入自启动

chkconfig denyhosts on

黑名单白名单位置：

vim /etc/hosts.deny
vim /etc/hosts.allow

hosts.allow(hosts.deny同规则)，手工添加：

sshd:*.*.*.*

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 204,590评论 6赞 478
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 86,808评论 2赞 381
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 151,151评论 0赞 337
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,779评论 1赞 277
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,773评论 5赞 367
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,656评论 1赞 281
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,022评论 3赞 398
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,678评论 0赞 258
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 41,038评论 1赞 299
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,659评论 2赞 321
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,756评论 1赞 330
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,411评论 4赞 321
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,005评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,973评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,203评论 1赞 260
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,053评论 2赞 350
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,495评论 2赞 343

VPS安全配置

推荐阅读更多精彩内容