购买云服务器之后,我们也应该注意一下关乎我们云服务器的安全问题。
在这里介绍一下简易的安全配置。
环境是Ubuntu 22.04 LTS
当你购买云服务器,并且放行ssh连接端口的一刻,一些寻找肉鸡的坏人就会开始对你的云服务器开始扫描了,我们还没开始仔细研究,就被扫了这么多次。还是要留意下安全问题的。
登录日志
查看登录日志文件
cat /var/log/auth.log
会看到很多类似如下的日志
Nov 13 20:16:19 localhost sshd[33825]: Failed password for root from 141.98.10.198 port 60224 ssh2
Nov 13 20:16:21 localhost sshd[33825]: Connection closed by authenticating user root 141.98.10.198 port 60224 [preauth]
Nov 13 20:16:26 localhost sshd[33872]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=141.98.10.198 user=root
Nov 13 20:16:28 localhost sshd[33872]: Failed password for root from 141.98.10.198 port 39186 s
Nov 13 20:16:37 localhost sshd[33928]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=141.98.10.198 user=root
Nov 13 20:16:38 localhost sshd[33928]: Failed password for root from 141.98.10.198 port 59936 ssh2
Nov 13 20:16:39 localhost sshd[33928]: Connection closed by authenticating user root 141.98.10.198 port 59936 [preauth]
Nov 13 20:16:41 localhost sshd[33974]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=141.98.10.198 user=root
Nov 13 20:16:43 localhost sshd[33974]: Failed password for root from 141.98.10.198 port 57250 ssh2
查看暴力破解root密码错误登录,展示错误次数和ip
sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看暴力破解Ubuntu密码错误登录,展示错误次数和ip
sudo grep "Failed password for ubuntu" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看暴力猜用户名的
sudo grep "Failed password for invalid user" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more
SSH安全配置
编辑 sshd 配置
vim /etc/ssh/sshd_config
修改SSH的默认端口
在Xshell上修改的时候要多留意一下,小心没改好再把自己拒绝在外面。
最好使用1024到65535之间的一个别人猜不到的端口号
查找:#Port 22
修改为: Port 2280
禁止SSH的root用户登录
查找:#PermitRootLogin
添加或修改为: PermitRootLogin no
设置SSH单次登录限制
LogLevel INFO #将LogLevel设置为INFO,记录登录和注销活动
MaxAuthTries 3 #限制单次登录会话的最大身份验证尝试次数
LoginGraceTime 20 #缩短单次的登录宽限期,即ssh登录必须完成身份验证的时间 单位是秒
重启ssh服务
sudo systemctl restart ssh #或 sudo service ssh restart
查看SSH侦听(监听)端口
sudo netstat -tunlp | grep ssh
安装入侵防御软件Fail2ban
Fail2ban软件安装
sudo apt update
sudo apt install fail2ban
配置fail2ban
配置文件在 /etc/fail2ban/jail.conf 。 在配置文件的[DEFAULT]区,可以在此定义所有受监控的服务的默认参数
[DEFAULT]
# 以空格分隔的列表,可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1/8 ::1
# 客户端主机被禁止的时长
bantime = 120m
# 查找失败次数的时长
findtime = 3m
# 客户端主机被禁止前允许失败的次数
maxretry = 5
根据上述配置,fail2ban会自动禁止在最近3分钟内有超过5次访问尝试失败的任意IP地址。一旦被禁,这个IP地址将会在2小时内一直被禁止访问 SSH 服务
保存后重启 fail2ban 软件
sudo service fail2ban restart
查看fail2ban运行状态
sudo systemctl status fail2ban
运行成功
查看运行日志
cat /var/log/fail2ban.log
检验一个特定监狱的状态
sudo fail2ban-client status sshd
上面的命令会显示出当前被禁止IP地址列表
解锁特定的IP地址
sudo fail2ban-client set sshd unbanip 192.168.1.101
更改登录用户
由于腾讯云或者别的云服务厂商都会有特定的一个登录用户。这里用腾讯云作为例子。
查看可以SSH远程登录用户
grep -vE '^(root|halt|sync|shutdown)' /etc/passwd | awk -F: '($7 !~ /nologin|false/) {print $1}'
添加登录用户
sudo adduser <新用户名>
修改用户登录密码
sudo passwd <用户名>
赋予sudo 权限
sudo usermod -aG sudo <用户名>
删除用户
sudo deluser --remove-home <用户名>
查看当前活跃的用户列表
w
到这里可以告一段落了。