阻止ssh暴力破解的核心是fail2ban与ssh安全配置结合;2. fail2ban通过监控日志、匹配失败尝试并自动封禁ip实现动态防御;3. 强化ssh需禁用密码认证、禁用root登录、修改默认端口、限制用户访问及认证次数;4. 实施时需备份配置、测试新设置、避免锁死自身,确保日志路径正确并合理设置封禁时长;5. 定期检查fail2ban状态和防火墙规则以确保防护有效,该策略可高效抵御自动化攻击但非万能。
要有效阻止SSH暴力破解,核心在于两点:一是动态地、自动化地封禁恶意IP,这正是Fail2Ban的拿手好戏;二是强化SSH自身的安全配置,从根本上提升认证难度和访问控制。两者结合,能构筑一道坚实的防线,让那些无休止的尝试变得徒劳。
解决方案
防止SSH暴力破解,我们通常会采用Fail2Ban配合SSH自身配置双管齐下的策略。Fail2Ban通过监控日志文件,一旦发现有IP地址在短时间内多次尝试SSH登录失败,就会自动将其IP地址加入防火墙的黑名单,从而阻止其进一步的恶意尝试。这就像给你的服务器门口装了个智能摄像头,发现可疑分子就直接关门。
具体的实现步骤包括:
安装 Fail2Ban: 在Debian/Ubuntu系统上:
sudo apt update && sudo apt install fail2ban
在CentOS/RHEL系统上:sudo yum install epel-release && sudo yum install fail2ban
-
配置 Fail2Ban: Fail2Ban的配置主要在
/etc/fail2ban/jail.conf
文件,但我们通常会创建一个/etc/fail2ban/jail.local
文件来覆盖默认配置,这样在Fail2Ban升级时可以避免配置被覆盖。 创建一个jail.local
文件:sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
编辑jail.local
文件,找到[sshd]
或[sshd-ddos]
部分(如果存在),确保其被启用(enabled = true
)。 可以根据需求调整以下参数:bantime
:IP被封禁的时间,单位秒(例如:bantime = 1h
封禁1小时,bantime = -1
永久封禁,但不推荐)。findtime
:在多少秒内发现maxretry
次失败尝试。maxretry
:允许失败尝试的最大次数。 例如:[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log # 或 /var/log/secure,取决于你的系统 maxretry = 5 bantime = 3600 # 封禁1小时 findtime = 600 # 10分钟内
配置完成后,重启Fail2Ban服务:
sudo systemctl restart fail2ban
-
强化 SSH 配置: 编辑SSH服务器配置文件
/etc/ssh/sshd_config
,进行以下关键设置:-
禁用密码认证,仅使用密钥认证: 这是最强的防御措施。
PasswordAuthentication no
确保你已经设置并测试了SSH密钥登录,否则会把自己锁在外面。 -
禁用Root用户直接登录:
PermitRootLogin no
如果需要root权限,先用普通用户登录,再使用sudo
或su
。 -
更改默认SSH端口(可选但推荐):
Port 2222
(将2222替换为其他未被占用的端口,1024-65535之间) 这虽然不是安全措施,但能大大减少扫描器的“噪音”,让你的日志更清爽。 -
限制允许登录的用户:
AllowUsers yourusername anotheruser
只允许特定用户登录,拒绝所有其他用户。 -
限制认证尝试次数:
MaxAuthTries 3
LoginGraceTime 30
修改sshd_config
后,务必重启SSH服务:sudo systemctl restart sshd
-
禁用密码认证,仅使用密钥认证: 这是最强的防御措施。
Fail2Ban 是如何识别并阻止恶意攻击的?
Fail2Ban的工作原理其实挺巧妙的,它并非什么高深莫测的人工智能,而是基于一种非常实用的模式识别。简单来说,它会持续地“盯”着你的系统日志文件,特别是那些记录认证尝试的日志(比如
/var/log/auth.log或
/var/log/secure)。它内置了一系列预定义的“过滤器”(filters),这些过滤器本质上就是正则表达式。
当一个IP地址尝试登录SSH,并且登录失败时,日志里就会留下相应的记录。Fail2Ban的过滤器会用这些正则表达式去匹配日志里的每一行。一旦某个IP地址在设定的
findtime(例如10分钟)内,达到了
maxretry(例如5次)的失败登录次数,Fail2Ban就会认定这个IP是恶意攻击者。
接着,它会执行预设的“动作”(actions),通常就是调用防火墙(如iptables)的命令,将这个恶意IP地址加入到防火墙的丢弃规则中。这样一来,这个IP在
bantime(例如1小时)内就无法再连接到你的SSH服务了。时间一到,防火墙规则会自动移除,IP又可以尝试连接,但如果它继续恶意尝试,又会被再次封禁。这种自动化、反应式的防御机制,对于抵御大规模的自动化暴力破解攻击非常有效。它就像一个勤劳的门卫,虽然不会预测谁是坏人,但只要发现有人多次敲错门,就直接把他们请出去。
除了 Fail2Ban,SSH 还有哪些关键的安全配置可以强化防御?
我个人觉得,Fail2Ban更多是“事后惩罚”,而SSH自身的配置则是“事前预防”和“提高门槛”。两者结合起来,才能形成一个完整的防御体系。除了Fail2Ban,以下几个SSH配置项是强化服务器安全的关键:
首先,禁用密码认证,强制使用SSH密钥登录是优先级最高的。密码再复杂也可能被暴力破解,或者通过其他方式泄露。SSH密钥则不同,它基于非对称加密,私钥留在本地,公钥放在服务器,没有私钥就无法登录,而且私钥还可以用密码短语加密,安全性极高。这是我个人最推荐的配置,它能从根本上杜绝密码暴力破解的可能性。
然后是禁用Root用户直接登录。Root用户拥有系统的最高权限,一旦被攻破后果不堪设想。我们应该始终使用普通用户登录,然后通过
sudo命令来执行需要root权限的操作。这就像是把金库的钥匙分成了两把,一把在普通入口,另一把在更安全的内室。
更改SSH默认端口(22)虽然不能从根本上提升安全性,但它能显著减少日志中的“噪音”。大量的自动化扫描器只会扫描默认的22端口,当你把端口改掉后,这些扫描器就不会再来烦你,你的日志会干净很多,也更容易发现真正的异常。这就像是把你的门牌号换了,那些盲目敲门的就找不到你了。
再者,利用
AllowUsers或
DenyUsers指令来明确指定哪些用户可以登录SSH。这是一种非常精细的访问控制,能确保只有授权的用户才能尝试连接。如果你的服务器上有很多用户,但只有少数几个需要SSH访问权限,这个配置就非常有用了。
最后,可以调整
MaxAuthTries和
LoginGraceTime。
MaxAuthTries限制了每个连接允许的认证尝试次数,比如设为3次,超过就断开连接。
LoginGraceTime则限制了用户完成认证的时间,比如30秒,超时未认证也会断开。这些配置能在一定程度上减缓攻击者的尝试速度,并减少服务器在攻击期间的资源消耗。
实施这些安全策略时,有哪些常见的陷阱或需要注意的事项?
实施这些安全策略,特别是涉及到SSH访问权限时,最常见的“陷阱”就是把自己锁在外面。我踩过最大的坑就是修改
sshd_config后,没有测试就直接重启SSH服务,结果发现新的配置有问题,导致自己无法登录,只能通过控制台或者其他应急方式进入服务器修复。所以,永远记住:
-
修改
sshd_config
前,务必备份原文件。sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
- 修改后,不要立即关闭当前SSH会话。 而是打开一个新的终端窗口,尝试用新配置登录。如果能成功登录,再关闭旧会话。如果不能,旧会话还在,你还有机会回滚配置。
- 确保SSH密钥配置正确且已测试。 如果你禁用了密码认证,但SSH密钥没配置好或者私钥丢失,那就真的麻烦了。
对于Fail2Ban,有几个需要注意的点:
-
使用
jail.local
而非jail.conf
。 这一点前面提过,但非常重要。直接修改jail.conf
可能在Fail2Ban更新时被覆盖掉,导致你的自定义配置丢失。 -
确认日志路径正确。 Fail2Ban需要监控正确的日志文件。不同的Linux发行版,SSH的认证日志路径可能不同(例如Debian/Ubuntu是
/var/log/auth.log
,CentOS/RHEL是/var/log/secure
)。如果路径不对,Fail2Ban就无法工作。 -
bantime
的设置要合理。 封禁时间太短,攻击者可能很快又卷土重来;封禁时间太长,可能会误伤偶尔输错密码的合法用户,或者导致iptables规则过多影响性能。通常建议设置为1小时到24小时。 -
定期检查Fail2Ban状态。 使用
sudo fail2ban-client status sshd
命令可以查看Fail2Ban的运行状态、被封禁的IP地址数量等信息,确保它正常工作。同时,也可以用sudo iptables -L -n
来查看防火墙规则,确认IP是否被正确添加。
这些策略虽然能大幅提升安全性,但它们并非万能。它们主要针对自动化、大规模的暴力破解。对于更高级的攻击手段,比如社会工程学、0day漏洞等,还需要其他更全面的安全措施。但作为基础防御,它们无疑是高效且必要的。
