Centos7 SSH安全防护---系统安全管家

我们在日常的办公中,会在自己的手机或者电脑上安装一些管理软件,依我个人来说吧~我手机上安装了QQ安全中心、淘宝安全中心及其他软件的管家等,说到底这些功能的目的就是为了检测及保护我们对应的应用服务,所以在安全及功能上大家相对比较认可的 ,同样,我们今天介绍Centos7的系统安全管家一样,需要对我们的系统登录进行保驾护航,到底是怎么个保护法呢,我们都知道linux的登陆方式通过ssh协议及crt、xshell工具进行登陆管理的,加上现在的网络安全意识又不好,很容易受到别人的攻击,所以我们就通过shell脚本对centos进行登陆的保护,不管是在本地或者通过ssh的方式进行登,只要通过无效的密码尝试登陆指定次数会将远程登陆的计算机的IP加入到centos系统下的黑名单下,即使密码正确也会无法正常登陆。这样就大大降低了centos服务的安全性,同样,我们为了更好的提高安全性,我们也可以修改默认的登陆端口,从默认的22更改其他端口指定端口2222等,废话不多说了,接下来我们就说说操作原理。

其实原理就是脚本程序读取/var/log/secure下的日志文件,然后查找关键字:Failed及IP地址,然后从这些日志中提取信息,如果提取的ip地址及标注的信息Failed达到5次的话,就会将该IP地址写入到/etc/hosts.deny 文件中,达到拒绝访问的效果。格式为:

Sshd:x.x.x.x:deny(所谓的黑名单);所以我们在配置前需要计划好,需要将允许的IP地址写入/etc/hosts.allow中:格式为:Sshd:x.x.x.x:allow;当hosts.allow文件内容和hosts.deny有冲突的时候以hosts.allow为准,所以hosts.allow的优先级高,具体操作见下:

环境介绍:

Os: Centos 7

Ip:192.168.6.101

Port:22

User: root 、gavin

我们首先通过ssh(192.168.6.188)使用无效的密码登陆,然后通过tail查看系统下的操作log信息

Tail –f /var/log/secure

接下来我们就是定义脚本了

vim /root/secure_ssh.sh
#! /bin/bash
cat /var/log/secure|awk ‘/Failed/{print $(NF-3)}‘|sort|uniq -c|awk ‘{print $2"="$1;}‘ > /root/black.txt
DEFINE="5"
for i in `cat  /root/black.txt`
do
IP=`echo $i |awk -F= ‘{print $1}‘`
NUM=`echo $i|awk -F= ‘{print $2}‘`
if [ $NUM -gt $DEFINE ];then
grep $IP /etc/hosts.deny > /dev/null
      if [ $? -gt 0 ];then
          echo "sshd:$IP:deny" >> /etc/hosts.deny
      fi
    fi
done

也可以:

#! /bin/bash
cat /var/log/secure|awk ‘/Failed/{print $(NF-3)}‘|sort|uniq -c|awk ‘{print $2"="$1;}‘ > /root/black.txt
DEFINE="5"
for i in `cat /root/black.txt`
do
IP=`echo $i |awk -F= ‘{print $1}‘`
NUM=`echo $i|awk -F= ‘{print $2}‘`
if [ "$IP" != "192.168.2.38" ]; then
if [ $NUM -gt $DEFINE ];then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];then
echo "sshd:$IP:deny" >> /etc/hosts.deny
fi
fi
fi
done

注:编写脚本保存后,我们需要查看该脚本文件的执行权限:

ls -l

如果没有root的执行权限我们chomod a+x即可

编写脚本好后,我们就可以设置通过计划任务来执行该脚本文件了。

Crontal –e 打开计划任务列表:
添加以下内容
* * * * *  /root/secure_ssh.sh 每一分钟执行一次

保存后退出:然后我们手动执行脚本看脚本是否运行正常;如果没有报错就是正常

./secure_ssh.sh

接下来我们查看按照脚本的规定叫/var/log/secure下的错误信息及IP记录到了blcak.txt文件下了

Cat /root/black.txt

192.168.6.188=6

=6为错误的验证次数,用错误的密码验证登陆了6次

然后我们再查看hosts.deny文件,通过脚本定义的,会将192.168.6.188自动添加到该文件下;我们发现192.168.6.188已经自动添加到了黑名单中,这样就无法登陆了;

我们使用正确的密码在192.168.6.188上登陆看看是否会验证成功呢

我们都是无法正常链接到192.168.6.101这个机器,连输入密码的机会都没有了。

我们通过log查看到服务器已拒绝192.168.6.188进行连接了。

那如果我们需要192.168.6.188进行连接怎么做呢?也许有人想到将192.168.6.188从hosts.deny的黑名单删除即可,其实呢,删除没用,当脚本执行后,又会通过log的信息(log信息中有失败的错误记录)将192.168.6.188自动添加到/etc/hosts.deny的黑名单中,所以这样是不行的。那怎么办呢?我们只需要将192.168.6.188添加到/etc/hosts.allow的白名单中即可,都无需删除黑名单中的记录。因为当hosts.deny和hosts.allow有冲突的时候系统会以hosts.allow为准,这样hosts.allow的优先级高,所以就会登陆了。接下来我们试试

Vim /etc/hosts.allow 打开hosts.allow文件添加允许连接的ip

注:如果允许某个ip进行连接格式为:

Sshd:X.X.X.X:allow

如果允许ip个子网连接的格式为:

Sshd:x.x.x.*:allow

保存后,我们确认hosts.deny和hosts.allow的文件中都有192.168.6.188的格式信息

我们上面说过,当两个文件的内容是有冲突的时候,是以hosts.allow为准,所以192.168.6.188这个主机是可以连接的

连接后,我们可以查看log

最后我们再说一下,如果需要使用系统自带的PAM进行错误密码的限制怎么做呢?

我们只需要修改登陆验证的配置文件即可

Vim /etc/pam.d/login
Vim /etc/pam.d/sshd

even_deny_root    也限制root用户;

deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户  unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒;

root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒;

此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。

添加参数

auth      required  pam_tally2.so   deny=3 lock_time=300 even_deny_root root_unlock_time=10

当用户输入指定次数错误的密码登陆会被锁定,

Pam_tally2 –user 查看锁定的账户信息

解锁账户

Pam_tally2 –r –u users

我们通过以上方式做完配置后,完全可以减少暴力破解的可能性,那为了更好的降低攻击性,我们也可以修改默认的登陆端口,我们都知道linux通过ssh登陆的默认端口是22,我们也可以22端口更改为其他未使用的端口

Vim /etc/ssh/sshd_config 取消port 22的注释,然后将22端口修改为其他端口

最后呢,我们再说说,Centos下设置使用SSH通过密钥登陆。

我们一般使用的工具比如xshell,crt,putty等来进行linux的登陆及管理;今天呢?我们主要介绍使用xshell工具进行介绍,因为我个人比较喜欢用xshell,其实所有工具都互通的

我们使用SSL客户端工具来生成密钥对

单击工具---新建用户密钥生成向导

密码类型:RSA 密码长度:3024

生成3072位RSA公钥文件

定义密钥名称及密码;密码可以忽略

保存公钥文件为文件

xshell工具会自动导入公钥文件,我们右击生成的公钥文件----属性

单击公钥---复制内容

或者打开本地保存的公钥文件,复制内容

登陆Linux主机系统配置,设置使用密钥来登陆

我们需要在服务器当前登录的用户目录下创建.ssh文件夹

Mkdir .ssh/ 创建一个隐藏文件夹
Cd .ssh/ 进入该隐藏文件夹
Vim authorized_keys 创建authorized_keys文件,该文件名一定要写正确

然后将id_rsa_3072.pub里面的代码复制粘贴即可

为了安全起见我们更改下权限!

#chmod 700 ~/.ssh
#chmod 644 ~/.ssh/authorized_keys
最后建议修改ssh的配置文件:修改/etc/ssh/sshd_config文件,设置禁止密码验证登录登陆系统 vim /etc/ssh/ssh_config
#PasswordAuthentication yes 修改为 PasswordAuthentication no

因为是在本地的xshell进行配置的,所以我们无需要导入公钥文件,我们直接使用xshell进行登陆

因为我们没有密码,所以直接登陆即可,成功登陆后查看log文件信息

Tail -f /var/log/secure

如果需要在其他机器上登陆的话,我们需要导出该公钥文件,然后再其他工具上导入即可

单击工具---用户密钥管理者

然后根据需求选择导入和导出即可

时间: 2024-11-04 05:37:41

Centos7 SSH安全防护---系统安全管家的相关文章

将centos7打造成桌面系统

前言 以下所有操作默认在root权限下执行,桌面环境是kde,使用gnome的也可以参考一下.我收集的以下要用到的一些安装包,360网盘http://yunpan.cn/csMhBAp92vTgN 提取码 92e2以下要用的安装软件语法:通过软件源在线安装:sudo yum -y install 软件名其中参数-y为所有选项均选则yes,不加-y则要手动确认通过本地rpm包安装:sudo rpm -ivh 软件名其中参数-i为安装,-vh为列出安装过程 一.安装centos7后配置1.将安装光盘

IPS(入侵防护系统)与WAF(Web应用防护系统)的区别

IPS(入侵防护系统)和WAF(Web应用防护系统)两款产品有不同的使用场景,随着Web应用发展带来的复杂度,对安全性要求也日趋增高,Waf的出现是顺应了市场和技术的需要. Web应用防护无疑是一个热门话题.由于技术的发展成熟和人们对便利性的期望越来越高,Web应用成为主流的业务系统载体.在Web上"安家"的关键业务系统中蕴藏的数据价值引起攻击者的青睐,网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低,也使得很多攻击带有盲目和随机性.比如利用GoogleHacking原理的批量查找具

在windows中通过SSH访问linux系统(redhat)

SSH: 传统的网络服务程序,如:ftp.pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据.而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击.所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器.服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题.通过使用

烂泥:【解决】Ubuntu下使用SSH连接centos系统很慢

本文首发于烂泥行天下. 这几天在Ubuntu下使用SSH连接centos系统,发现连接很慢.建议一个连接大约需要30s.很是坑爹,如下: 后来查询相关资料,发现这个是Ubuntu的一个Bug.解决此Bug很简单,只需要修改/etc/ssh/ssh_config即可.如下: sudo vi /etc/ssh/ssh_config 把ssh_config配置文件中GSSAPIAuthentication由原来的yes修改为no即可. 然后再次使用ssh连接centos就很快了.

Centos7 实战Kickstart 批量系统部署

1.kickstart 使用背景介绍大家想个问题,我们平时手动光盘安装一台linux系统的多久能完成?10分钟?半小时?1小时还是一上午?领导说小李明天到100台服务器你统一装成linux系统,周日交工.啊?100台?你是不是要哭了-- 于是乎,kickstart 自动化安装平台就诞生了,哇哈哈!2.kickstart 原理① PXE 客户端发送UDP广播请求 PXE 客户端从自己的PXE网卡启动,通过PXE BootROM(自启动芯片)会以UDP(简单用户数据报协议)发送一个广播请求,向本网络

centos7 部署 ELK 日志系统

=============================================== 2017/12/17_第1次修改                       ccb_warlock =============================================== ELK(elasticsearch.logstash.kibana)可以作为日志收集及分析的一整套系统,通过阿里的普及也有越来越多的公司在使用,使用下来功能还可以,这里整理记录一个部署手册. 为了方便,将E

CentOS7.4.1708查看系统相关信息及系统的初步优化

一.常用操作 1,查看系统版本号 [[email protected] ~]# cat /etc/redhat-release  CentOS Linux release 7.4.1708 (Core) 2.查看主机名 [[email protected] ~]# hostname localhost.localdomain 3.显示系统名.节点名称.操作系统的发行版号.操作系统版本.运行系统的机器 ID 号 [[email protected] ~]# uname -a Linux local

ssh下:系统初始化实现ServletContextListener接口时,获取spring中数据层对象无效的问题

想要实现的功能:SSH环境下,数据层都交由Spring管理:在服务启动时,将数据库中的一些数据加载到ServletContext中缓存起来. 系统初始化类需要实现两个接口: ServletContextListener,系统初始化时调用contextInitialized方法缓存数据: ApplicationContextAware,获取Spring的ApplicationContext对象,以获取spring容器管理的service对象. 系统初始化类如下: 1 package com.liz

SSH结合EasyUI系统(一)———简单介绍

鉴于前文<不仅仅是吐槽>,决定将自己学过的和在学的东西整理一下放进园子:做一个好园友! 接下来将会持续更新的是近一段时间在学的java web中比较流行的框架SSH(Struts+Spring+Hibernate)结合EasyUI整合的demo,至于ssh的介绍,用我的理解一句话描述:Struts让Web与Action交互更简单,Hibernate解决了model与数据库的交互,spring相当于容器很好的将两则融合到一起.3大框架各自发挥了自己的特点,当然有利有弊,这里就不多叙述了,有兴趣的