百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

服务器被暴力破解的解决办法(二)(服务器被攻破严重吗)

nanshan 2025-07-07 21:50 3 浏览 0 评论

上一次,我们说到小王公司服务器遭遇暴力破解,拿到解决方案回公司就开始部署。部署完成后的确起到了一定的效果,不过接下来的一个问题让他很头疼,原来黑客虽然攻入不进系统,但是依旧不依不饶的进行暴力破解。

大家都知道在被暴力破解的时候,系统会不断地认证用户,从而增加了系统资源额外开销,导致访问公司网站速度很慢。

基于此我又给到他一个方案,使用工具fail2ban防止暴力破解

关于fail2ban百度百科里的解释 是:

fail2ban是一款实用软件,可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作

fail2ban可以支持大量服务,例如sshd,apache,qmail,proftpd,sasl等

当然也支持多种动作,如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等。

在这里笔者针对sshd服务和iptables来给小王做了下演示:

模拟场景:使用fail2ban 设置ssh远程登录5分钟内3次密码验证失败,禁止用户IP访问主机1小时,1小时该限制自动解除,此IP可以重新登录。

下载fail2ban:(鉴于小王用虚的拟机,所以这里演示下载windows下载,然后上传到linux虚拟机里的情况)

官方下载网址及截图:

官方地址:

http://www.fail2ban.org

安装:fail2ban

[root@xinsz08 ~]# tar -zxvf fail2ban-0.9.3.tar.gz

[root@xinsz08 fail2ban-0.9.14]# cd fail2ban-0.9.3

[root@xinsz08 fail2ban-0.9.3]# vim README.md #查看以下内容

从文件里看以看到,安装fail2ban要求python大于2.6版本,安装方法也已经很清晰了,直接使用python setup.py install 就可以了。

首先我们查看一下python版本看看是否符合要求

[root@xinsz fail2ban-0.9.3]# python

Python 2.6.6 (r266:84292, Sep 4 2013, 07:46:00)

[GCC 4.4.7 20120313 (Red Hat 4.4.7-3)] on linux2

Type "help", "copyright", "credits" or "license" for more information.

>>> exit()

安装:

[root@xinsz fail2ban-0.9.3]# python setup.py install

将fail2ban的启动脚本复制到 /etc/init.d/fail2ban

[root@xinsz fail2ban-0.9.3]# cp files/redhat-initd /etc/init.d/fail2ban

设置开机启动

[root@xinsz fail2ban-0.9.3]# chkconfig --add fail2ban

[root@xinsz fail2ban-0.9.3]# chkconfig --list fail2ban

fail2ban 0:off 1:off 2:off 3:on 4:on 5:on 6:off

具体配置:

[root@xinsz fail2ban-0.9.3]# ls /etc/fail2ban/

action.d fail2ban.d jail.conf paths-common.conf paths-fedora.conf paths-osx.conf

fail2ban.conf filter.d jail.d paths-debian.conf paths-freebsd.conf

[root@xinsz fail2ban-0.9.3]# vim /etc/fail2ban/jail.conf

[DEFAULT]

bantime = 3600 禁止此用户IP访问主机1小时

findtime = 300 在5分钟内内出现规定次数就实施动作,默认时间单位:秒

maxretry = 3 密码验证失败次数最大值为3

filter = sshd

protocol = tcp 协议为TCP

action = iptables[name=SSH, port=ssh, protocol=tcp] 所采用的工作,按照名字可在action.d目录下找到

[sshd]

port = ssh

logpath = /var/log/secure # 检测的系统的登陆日志文件,这里我们sshd服务日志文件的路径

最后保存设置

启动fail2ban服务

/etc/init.d/fail2ban start

[root@xinsz jt]# service fail2ban status

fail2ban-server (pid 5491) is running...

验证:

故意输错密码三次,看看效果

从192.168.1.63 ssh到192.168.1.62

[root@localhost jt]# ssh root@192.168.1.62

The authenticity of host '192.168.1.62 (192.168.1.62)' can't be established.

RSA key fingerprint is 39:51:1b:f7:be:07:dd:e8:61:32:6f:bd:83:88:14:72.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.1.62' (RSA) to the list of known hosts.

root@192.168.1.62's password:

Permission denied, please try again.

root@192.168.1.62's password:

Permission denied, please try again.

root@192.168.1.62's password:

Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

三次失败后直接限制登陆,连输入密码的机会都没有了,很神奇有没有

由此看来,我们的设置是完全可以实现当黑客进行暴力破解,输错三次密码,就限制这个IP一小时之内不能登陆

配置文件里还有很多值得玩味的地方,比如设置邮件等,有兴趣的话,小王也会自己去探索。小王的问题暴力破解问题解决了。

我是辛舒展,专注云计算大数据方案,希望我的文字能给你带来不一样的声音和视角。

你可以关注下我的头条号和微信公众号 :每天我都会发布一篇技术文章 ,这些文章总会有一篇是你想要的

微信公众号:xinsz08

相关推荐

服务器温度监控--lm-sensors(服务器温度怎么看)

lm-sensors是一款linux的硬件监控的软件,可以帮助我们来监控主板,CPU的工作电压,风扇转速、温度等数据。这些数据我们通常在主板的BIOS也可以看到。当我们可以在机器运行的时候通过...

MySQL版本区别及管理(mysql版本最新版本)

MySQL版本区别及管理一.MySQL5.6与MySQL5.7安装的区别1、cmake的时候加入了bostorg2、初始化时使用mysqld--initialize替代mysql_install...

Linux技术问答系列-NO4(linux必知必会)

一.绝对路径用什么符号表示?当前目录、上层目录用什么表示?主目录用什么表示?切换目录用什么命令?绝对路径:如/etc/init.d当前目录和上层目录:./../主目录:~/切换目录:cd二...

猫盘原版系统开启ssh教程(猫盘原版系统怎么样)

猫盘是之前网上流传许久的矿渣,默认其系统不支持SSH功能,为了能打开其SSH功能,我特意制作操作教程如下:1、到网盘下载相关软件,利用猫盘系统自带功能,将assets放入个人存储目录下,并牢记对应的...

一探究竟——天融信网闸TopRules7000

网闸即:安全隔离与信息交换系统,常用作企业内外网隔离与业务互访用途。相比给服务器加多块网卡跨多个网段来说,网闸提供了更加安全的方式。探究背景:某次,网闸配置新业务,重启设备查看是否生效,结果发现刚重启...

操作系统加固通用Linux篇(linux系统加固常见操作)

1检查是否配置登陆超时时间设置编辑vi/etc/profile文件,配置TMOUT将值设置为低于300.TMOUT=3002检查是否禁止root用户登录FTP设置如下将对应配置文件中,设置roo...

zabbix agent的安装与配置(zabbix-agent安装)

Agent安装rpm-ivhzabbix-agent-3.2.4-1.el6.x86_64.rpm安装完成后,zabbixagent端已经安装完成了,zabbixagent端的配置目录位于/e...

Linux基础命令之计划任务(linux计划任务crontab)

一、计划任务1、at只能执行一次语法:at时间服务:atd必须开启123[root@xuegod163~]#/etc/init.d/atdstatus#查看服务状态atd(pid2...

Secure Delivery Center (SDC)安装指南二:Delivery Hub

免费下载SecureDeliveryCenter2015>7月23日软件分发管理神器SecureDeliveryCenter免费技术交流会,MyEclipse原厂商倾力主讲,敬请关注!...

OpenWrt 常用命令及用法!!(openwrt常用功能)

OpenWrt是一个高度可定制的嵌入式Linux操作系统,常用于路由器等网络设备。以下是一些常见的OpenWrt命令及其详细解释和示例操作:一、系统信息相关命令1.`uname-a``u...

Linux 设置定时任务crontab命令(linux定时任务cron表达式)

看了同事的脚本,发现他用了cron来自检自身的那个程序是否崩溃了,这是有多大的不自信才用这种机制的?点击(此处)折叠或打开$sudocat/var/spool/cron/crontabs/ro...

vCenter纳管ESXI主机出错(vsphere esxi)

vCenter纳管主机的大致步骤为:(1)vc和esxi交换证书,确立信任;(2)esxi把自己的资源信息同步到VC,VC建立清单。(3)VC在esxi建立几个操作用户;(4)然后下发...

从选购到安装 小白也能看懂的超全NAS经验分享

0.篇首语Hello大家好,我是KC,上一篇器材和工作流分享的文章里,有小伙伴问我怎么没有提到NAS?其实是因为前段时间碰巧更换了一台新NAS,折腾了一段时间很多内容还没来及整理和汇总,今天就...

手把手教你!如何在 Linux 服务器中搭建 Sentinel 环境?

你在Linux服务器上搭建Sentinel环境时,是不是也遇到过各种报错,要么是启动失败,要么是配置后无法正常访问控制台?看着同事顺利搭建好,自己却一头雾水,别提多着急了!其实,很多互联网大厂...

服务器被暴力破解的解决办法(二)(服务器被攻破严重吗)

上一次,我们说到小王公司服务器遭遇暴力破解,拿到解决方案回公司就开始部署。部署完成后的确起到了一定的效果,不过接下来的一个问题让他很头疼,原来黑客虽然攻入不进系统,但是依旧不依不饶的进行暴力破解。...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表