【转贴】如何及時封鎖想要用「暴力法」以 SSH 入侵的用戶

如何及時封鎖想要用「暴力法」以 SSH 入侵的用戶
转自 ：LinuxSecurity">http://www.vixual.net/wikka/wikka.php?wakka=CategoryLinuxSecurity

--------------------------------------------------------------------------------

類別: Linux 安全管理

粉久之前寫了一支 Log 分析的程式，可以統計、分析前一天系統的 Log，在這一份報表裡面，總是會看到有一些人使用「暴力法」，嘗試以各種帳號、密碼，藉由 SSH 或 FTP 入侵伺服器! 而我只能看著「前一天」的報表，分析他們用過哪些帳號、統計他們嘗試了幾次...實在有點不是滋味。

我一直在找這樣的程式，這個程式的功能，就是可以及時把使用「暴力法」入侵伺服器的人給封鎖掉。我找這樣的程式已經很久了，我也認為應該會有這樣的程式才對，可是就是找不著! (如果你用過這樣的程式，請不要笑我)


程式原理

整天坐在電腦前面監控系統不應該是現代 MIS 的工作，現代的 MIS，就算坐在電腦前面，也應該去逛逛別人的 Weblog。

於是我就自己用 Perl 寫了一支程式，程式的原理，並不是每隔五分鐘就去分析系統 Log，因為我覺得這樣對系統太操了，我希望可以在用戶準備登入時，才去分析該用戶最近的登入狀況。

這整個流程，首先藉由 TCP_Wrappers 的機制 (hosts.deny 及 hosts.allow) 在用戶登入時觸發我寫程式，然後程式會分析該用戶最近這一小時登入的狀況，對於不懷好意的用戶 (登入失敗 10 次)，直接以防火牆封鎖其 IP，然後程式會寄出一封電子郵件通知管理者。


安裝步驟


下載 block_ssh.pl∞，將檔案存放在 [/usr/bin]，並將權限設為 755。 cd /usr/bin
wget ftp://www.vixual.net/source/block_ip/block_ssh.pl
chmod 755 block_ssh.pl 
編輯 /etc/hosts.allow，加入 sshd    :       ALL     :       spawn (/usr/bin/block_ssh.pl %c %d)
這樣就完成了，如有必要，請自行修改 block_ssh.pl 裡相關的參數。


程式缺點


目前只有針對 ssh 做分析。 
遇到不斷變換 IP 的駭客就沒輒了。


SSH 的安全設定

建議修改 /etc/ssh/sshd_config，做以下設定:
#只允許用戶使用 SSH2 協定登入
Protocol 2
#禁止 root 使用 SSH 登入
PermitRootLogin no
#最多可以同時開啟 10 個連線要求
MaxStartups 10

發表日期: 2005/03/02








经cnriver验证，通过！！！！

--------------------------------------------------------------------------------

slls 回复于：2005-05-11 11:34:55

好

waker 回复于：2005-05-11 12:25:46

藉由 TCP_Wrappers 的機制 (hosts.deny 及 hosts.allow) 在用戶登入時觸發我寫程式 学到了，多谢！

零二年的夏天 回复于：2005-05-11 21:57:52

否要由inetd或者xinetd来控制sshd吧？;)

cnriver 回复于：2005-05-11 22:37:23

[quote:42d7926a89="零二年的夏天"]否要由inetd或者xinetd来控制sshd吧？;)[/quote:42d7926a89] sshd是单独运行的，不依靠inetd或者xinetd。

網中人 回复于：2005-05-12 01:29:36

不需 xinetd, 但經 tcpwraper (tcpd) try it out....

panlm 回复于：2005-05-12 02:15:13

使用public key就不怕暴力破解了

coofir 回复于：2005-05-12 04:31:16

??? Perfect..

原文转自：http://www.ltesting.net