防止ssh密码扫描

东北大学ssh黑名单

原文:http://neucert.neu.edu.cn/archives/174

相信不少Linux或Unix管理员都会发现自己系统每时每刻都在被大量的主机试探密码,并试图控制该主机。目前大部分用户都是通过防火墙封锁TCP/22端口,有部分管理员习惯把SSH监听端口改成2222等一些非默认端口,也可以在一定程度上防止密码试探。同样在互联网上也有一些稍微智能一些的方法,如:

但是对于一些非Linux主机或不支持recent模块的主机,这个方法就无效了。

经过努力,东北大学网络应急响应组通过部署相应的SSH攻击采集程序,收集了部分发起SSH攻击的主机IP地址,连接地址为:http://antivirus.neu.edu.cn/ssh/lists/neu.txt ,列表每5分钟更新一次,同时本站还同步sshbl.org的黑名单数据,详见:http://antivirus.neu.edu.cn/ssh/lists/ 目录下的base.txt等。

我们将本站收集的IP地址列表与sshbl.org提供的列表进行合并,生成新的hosts.deny列表,链接地址:http://antivirus.neu.edu.cn/ssh/lists/neu_sshbl_hosts.deny ,Linux或Unix管理员可以通过更新hosts.deny文件来防止主机被攻击。

同时我们还提供一个自动更新脚本:

#!/bin/sh
# Fetch NEU SSH Black list to /etc/hosts.deny
#

export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

URL=http://antivirus.neu.edu.cn/ssh/lists/neu_sshbl_hosts.deny.gz
HOSTSDENY=/etc/hosts.deny
TMP_DIR=/dev/shm
FILE=hosts.deny

cd $TMP_DIR

curl $URL 2> /dev/null | gzip -dc > $FILE

LINES=`grep "^sshd:" $FILE | wc -l`

if [ $LINES -gt 10 ]
then
sed -i '/^####SSH BlackList START####/,/^####SSH BlackList END####/d' $HOSTSDENY
echo "####SSH BlackList START####" >> $HOSTSDENY
cat $FILE >> $HOSTSDENY
echo "####SSH BlackList END####" >> $HOSTSDENY
fi

脚本定期运行即可。

巧用Recent模块加固Linux安全

众所周知,Linux可以通过编写iptables规则对进出Linux主机的数据包进行过滤等操作,在一定程度上可以提升Linux主机的安全 性,在新版本内核中,新增了recent模块,该模块可以根据源地址、目的地址统计最近一段时间内经过本机的数据包的情况,并根据相应的规则作出相应的决策,详见:http://snowman.net/projects/ipt_recent/

防止穷举主机口令

通过recent模块可以防止穷举猜测Linux主机用户口令,通常可以通过iptables限制只允许某些网段和主机连接Linux机器的 22/TCP端口,如果管理员IP地址经常变化,此时iptables就很难适用这样的环境了。通过使用recent模块,使用下面这两条规则即可解决问题:

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT

应用该规则后,如果某IP地址在一分钟之内对Linux主机22/TCP端口新发起的连接超过4次,之后的新发起的连接将被丢弃。

防止端口扫描

-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP

应用该规则后,如果某个IP地址对非Linux主机允许的端口发起连接,并且一分钟内超过20次,则系统将中断该主机与本机的连接。

详细配置如下:

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [458:123843]
-A INPUT -i lo -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m recent --update --seconds 60 --hitcount 20 --name PORTSCAN --rsource -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -m recent --set --name PORTSCAN --rsource -j DROP
COMMIT

以上配置说明,本机开放可供服务的端口有22/TCP(有连接频率限制),53/TCP/UDP, 80/TCP, 443/TCP,所有发往本机的其他ip报文则认为是端口扫描,如果一分钟之内超过20次,则封禁该主机,攻击停止一分钟以上自动解封。

在这只是取个抛砖引玉的作用,通过recent模块还可以实现很多更复杂的功能,例如:22/TCP端口对所有主机都是关闭的,通过顺序访问23/TCP 24/TCP 25/TCP之后,22/TCP端口就对你一个IP地址开放等等。

使用hosts.deny拒绝ssh试探连接

原文: http://www.2cto.com/Article/201204/127018.html

利用hosts.deny拒绝ssh试探登陆。主要是为了考虑到在公网打开ssh后,不断有人试探连接,自动实现拒绝。

XStar:以下脚本似乎并未调试通过,其利用lastb/wtmp来解析异常IP、加锁和解锁的方式可以参考。

#!/bin/bash
#赵云
#自动监控ssh试探登陆,将其添加在/etc/hosts.deny实现拒绝
 
#设置尝试次数,尝试操作3次,就实现拒绝连接
number=3
 
#设置运行间隔时间,单位秒
sleep=60
 
#设置锁定试探IP地址时间,单位秒
locktime=120
 
lockfile=/tmp/lock-ipadd
touch $lockfile
 
while true
do
#执行锁定检查
for badip in `lastb  |awk '{print $3}' |grep -v ^$  |grep -v [A-Z] |sort |uniq -c |awk -vn="$number" '$1 > n {print $2}' `
do
   time=`date +%s`
   bip=`echo $badip |tail -n1`
   echo $bip |grep [0-9] &>/dev/null
 
   if [ $? -eq 0 ] ; then
 
       grep $bip $lockfile &>/dev/null
 
       if [ $? -eq 1 ] ; then
          echo $bip.$time >>$lockfile
       fi
 
       grep $bip /etc/hosts.deny &>/dev/null
       [ ! $? -eq 0 ] && (echo "SSHD:$bip" >>/etc/hosts.deny; logger "lock ip address $bip ")
       cat /var/log/btmp >> /var/log/btmp.bak
       >/var/log/btmp
   fi
done
 
#解除锁定操作
nowtime=`date +%s`
rows=`wc -l  $lockfile |awk '{print $1}' `
for (( i=1;i<=rows;i++))
do
       line=`cat -n $lockfile |head -n $i |tail -n1 |awk -F. '{print $5" "$1}' |awk -vt="$nowtime" '{print t-$1" "$2}' |awk -vt="$locktime" '$1>t {print $2}'`
       echo $line |grep [0-9] &>/dev/null
    if [ $? -eq 0 ] ; then
       unlockip=`cat -n $lockfile |column -t | grep ^$line |awk '{print $2}' | awk -F. '{print $1"."$2"."$3"."$4}'`
       sed -i "/SSHD:$unlockip/d" /etc/hosts.deny
       logger "unlock ip address $unlockip "
       sed -i "/$unlockip/d" $lockfile
    fi
done
 
sleep $sleep
 
done

来源:http://netsecurity.51cto.com/art/201104/253064_all.htm

#!/bin/bash
#/root/ssh_deny.sh
# /etc/crontab
# * */1 * * * root sh /root/ssh_deny.sh

cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}'  >/root/black.txt
DEFINE="10"
for i in `cat /root/black.txt`
do
    IP=`echo $i |awk -F= '{print $1}'`
    NUM=`echo $i|awk -F= '{print $2}'`
    if [ $NUM -gt $DEFINE ];
    then
        grep $IP /etc/hosts.deny > /dev/null
        if [ $? -gt 0 ];
            then
            echo "sshd:$IP" >> /etc/hosts.deny
        fi
    fi
done