看我怎样奇妙设置两款安全东西防备蛮力攻打(1)

蛮力攻打简介

咱们都知道这句流行语：“防备胜过治疗。”假如你是个linux系统管理员，可能知道“蛮力攻打应用程序”如何在你的本地或远程效劳器引发问题。设想一下：假如你的效劳器遭到了身份未知的攻打者的攻打，效劳器上的数据就会落到坏人手里。这肯定会让你和贵公司陷入从未想过的大麻烦。蛮力攻打是应用程序采用的反复实验方法，以破解你的加密数据。加密数据可能是任何暗码或密钥。简单来说，蛮力攻打应用程序会实验全部可能的暗码或密钥组合，反复实验，直到找到正确的暗码或密钥为止。这就需要一段时光，具体取决于暗码的复杂性。假如要花过长的时光才能找到暗码，那么能够说你的暗码很安全、很强壮。

现在能够应用一些巧妙的东西来禁止或防备蛮力攻打。今天，咱们就来探讨下列东西。

1. SSHGuard ;2. Fail2Ban.

提醒一下：不要将这两个东西都装配在同一个系统上。你可能无法获得正确的结果。

首先，让咱们看一下SSHGuard，以及如何装配和设置它，以防备蛮力攻打。

1. SSHGuard

SSHGuard(https://www.sshguard.net)是一种快速、轻便的监控东西，用C语言编写而成。它能够应用日志活动，监控效劳器，掩护效劳器远离蛮力攻打。要是有人不断地试图通过SSH拜访你的效劳器，多次(可能四次)实验拜访失败，SSHGuard就会将对方的IP地址放入到iptables，在一段时光内禁止他/她拜访。之后，它会在一段时光后自动解锁。它几乎能掩护全部的效劳，比如sendmail、exim、dovecot、vsftpd、proftpd及许多效劳，而不光光掩护SSH。

装配SSHGuard

在Ubuntu/Debian上，SSHGuard就在默认的软件库中。

于是，咱们能够用下列下令来轻松装配它：

sudo apt-get install sshguard

在centos/RHEL 6.x上：

先下载并添加FlexBox软件库，如下所示。

wget https://sourceforge.net/projects/flexbox/files/flexbox-release-1-1.noarch.rpm

应用下列下令更新软件库列表：

yum repolist

最后，应用下列下令装配sshguard：

yum install sshguard

至于其他发行版，从官方网站(https://www.sshguard.net/download/)下载各自的二进制文件，并自行装配。

或者，你也能够从这里(https://pkgs.org/download/sshguard)来下载。

用Iptables/Netfilter设置SSHGuard

SSHGuard没有设置文件。你要做的就是在iptables中为SSHGuard创建新的链，以插入禁止拜访的规矩。

为了支撑IPv4，在拥有根权限的情况下运行下列下令：

iptables -N sshguard

为了支撑IPv6：

ip6tables -N sshguard

现在更新INPUT链，将流量传输到sshguard。指定–dport选项，应用sshguard掩护效劳的全部端口。假如你想防止攻打者将任何流量传输到主机，就完全删除这个选项。

禁止来自攻打者的全部流量

为了支撑IPv4：

iptables -A INPUT -j sshguard

为了支撑IPv6：

iptables -A INPUT -j sshguard

禁止来自攻打者的特定效劳，比如SSH、FTP、POP或IMAP

为了支撑IPv4：

iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard

为了支撑IPv6：

ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143-j sshguard

最后，保留iptables规矩。

service iptables save

核实你在链中的较高层没有传输全部ssh流量的default allow(默认允许)规矩。核实你在防火墙中没有禁止全部ssh流量的default deny(默认拒绝)规矩。不论哪种情况，假设你已经拥有调整防火墙设置的技能。

下面是一个合理的示例规矩集：

iptables -N sshguard

禁止sshguard表明是不良流量的任何流量：

iptables -A INPUT -j sshguard

启用ssh、dns、http和https：

iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A INPUT -p udp --dport 53 -j ACCEPTiptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPT

禁止之外的全部效劳：

iptables -P INPUT DROP

不用Iptables/Netfilter，设置SSHGuard

假如你不用iptables，下列下令能够创建并保留iptables设置;除了让sshguard能够正常运行外，该设置绝对什么都不做：

iptables -Fiptables -Xiptables -P INPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPTiptables -N sshguardiptables -A INPUT -j sshguard

最后，保留iptables设置：

service iptables save

就是这样。现在你已装配并设置了SSHGuard，能够掩护你的ssh、ftp及其他效劳远离蛮力攻打者。

转载自:https://netsecurity.51cto.com/art/201508/487352.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《看我怎样奇妙设置两款安全东西防备蛮力攻打(1)》
本文地址：https://www.zhiletu.com/archives-4525.html
关注公众号：