前些時談了一下如何屏蔽對網(wǎng)站服務器的掃描，屬于前臺防御。后來 Felix 發(fā)了一篇 blog 提到將多次嘗試 SSH 登錄失敗的 IP ban 掉，才想起來去看一下日志，沒想到后院起火了。

查看日志文件：

$ sudo cat /var/log/auth.log 

沒想到滿屏滿屏的往下刷，全是：

來統(tǒng)計一下有多少人在暴力破解我的 root 密碼吧：

$ sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more  
470 222.122.52.150  
411 123.15.36.218  
139 177.8.168.48  
20 74.81.83.226  
18 77.108.112.131  
2 95.58.255.62  
1 218.28.79.228  
1 188.132.163.154 

很明顯我禁用了 root 登錄，人家也不是那么笨，開始暴力猜用戶名：

$ sudo grep "Failed password for invalid user" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more  
3190 218.28.79.228  
646 222.122.52.150  
172 123.15.36.218  
65 177.8.168.48  
4 222.76.211.149 

某個人嘗試了 3000 多次，好吧，lovelucy 這個小博客真有那么 valuable 么。。為了防范于未然，我們可以做些配置，讓 VPS 服務器更加安全。

1、修改 SSH 端口，禁止 root 登陸

修改/etc/ssh/sshd_config文件

$ sudo vi /etc/ssh/sshd_config  
Port 4484 #一個別人猜不到的端口號  
PermitRootLogin no  
   
$ sudo /etc/init.d/ssh restart 

2、禁用密碼登陸，使用 RSA 私鑰登錄

Amazon EC2 服務器本來就是只允許使用私鑰登錄的，但是這樣的話我如果想在別的電腦上臨時 SSH 上來，又沒帶私鑰文件的情況下，就很麻煩。所以我又手動開啟了密碼驗證登錄。不管怎樣，這一條還是先列出來吧！

# 在客戶端生成密鑰  
$ ssh-keygen -t rsa  
# 把公鑰拷貝至服務器  
$ ssh-copy-id -i .ssh/id_rsa.pub server  
# 也可以手動將.shh/id_rsa.pub拷貝至服務器用戶目錄的.ssh中，記得修改訪問權(quán)限  
# $ scp .shh/id_rsa.pub server:~/.ssh  
# 在服務器中  
$ cd ./.ssh/  
$ mv id_rsa.pub authorized_keys  
$ chmod 400 authorized_keys  
$ vi /etc/ssh/sshd_config  
RSAAuthentication yes #RSA認證  
PubkeyAuthentication yes #開啟公鑰驗證  
AuthorizedKeysFile .ssh/authorized_keys #驗證文件路徑  
PasswordAuthentication no #禁止密碼認證  
PermitEmptyPasswords no #禁止空密碼  
UsePAM no #禁用PAM  
   
# 最后保存，重啟  
$ sudo /etc/init.d/ssh restart 

3、安裝denyhosts

這個方法比較省時省力。denyhosts 是 Python 語言寫的一個程序，它會分析 sshd 的日志文件，當發(fā)現(xiàn)重復的失敗登錄時就會記錄 IP 到 /etc/hosts.deny 文件，從而達到自動屏 IP 的功能。這和我之前介紹的自動屏蔽掃描的腳本 是一個思路。如果靠人工手動添加的話還不把人累死?，F(xiàn)今 denyhosts 在各個發(fā)行版軟件倉庫里都有，而且也不需要過多配置，傻瓜易用。

安裝：

# Debian/Ubuntu：  
$ sudo apt-get install denyhosts  
   
# RedHat/CentOS  
$ yum install denyhosts  
   
# Archlinux  
$ yaourt denyhosts  
   
# Gentoo  
$ emerge -av denyhosts 

默認配置就能很好的工作，如要個性化設置可以修改 /etc/denyhosts.conf：

$ vi /etc/denyhosts.conf  
SECURE_LOG = /var/log/auth.log #ssh 日志文件，它是根據(jù)這個文件來判斷的。  
HOSTS_DENY = /etc/hosts.deny #控制用戶登陸的文件  
PURGE_DENY = #過多久后清除已經(jīng)禁止的，空表示永遠不解禁  
BLOCK_SERVICE = sshd #禁止的服務名，如還要添加其他服務，只需添加逗號跟上相應的服務即可  
DENY_THRESHOLD_INVALID = 5 #允許無效用戶失敗的次數(shù)  
DENY_THRESHOLD_VALID = 10 #允許普通用戶登陸失敗的次數(shù)  
DENY_THRESHOLD_ROOT = 1 #允許root登陸失敗的次數(shù)  
DENY_THRESHOLD_RESTRICTED = 1 
WORK_DIR = /var/lib/denyhosts #運行目錄  
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES 
HOSTNAME_LOOKUP=YES #是否進行域名反解析  
LOCK_FILE = /var/run/denyhosts.pid #程序的進程ID  
ADMIN_EMAIL = root@localhost #管理員郵件地址,它會給管理員發(fā)郵件  
SMTP_HOST = localhost 
SMTP_PORT = 25 
SMTP_FROM = DenyHosts <nobody@localhost> 
SMTP_SUBJECT = DenyHosts Report  
AGE_RESET_VALID=5d #用戶的登錄失敗計數(shù)會在多久以后重置為0，(h表示小時，d表示天，m表示月，w表示周，y表示年)  
AGE_RESET_ROOT=25d 
AGE_RESET_RESTRICTED=25d 
AGE_RESET_INVALID=10d 
RESET_ON_SUCCESS = yes #如果一個ip登陸成功后，失敗的登陸計數(shù)是否重置為0  
DAEMON_LOG = /var/log/denyhosts #自己的日志文件  
DAEMON_SLEEP = 30s #當以后臺方式運行時，每讀一次日志文件的時間間隔。  
DAEMON_PURGE = 1h #當以后臺方式運行時，清除機制在 HOSTS_DENY 中終止舊條目的時間間隔,這個會影響PURGE_DENY的間隔。 

查看我的 /etc/hosts.deny 文件發(fā)現(xiàn)里面已經(jīng)有 8 條記錄。