白帽黑客

在外网地址中时时刻刻都有些人根据密码字典暴力破解密码尝试登陆你的服务器，不相信可以看该日志图片大小du -sh `ls /var/log | grep btmp，该文件传送了ssh不成功登陆的纪录。文档越大/提高越快，表明你的服务器处在被他人暴力破解密码的风险中!为了防止这类风险，务必搞好二点：

• 改动SSH默认设置端口号，
• 应用强动态口令登陆密码，不愿看扯蛋的请立即跳到后边。

全部网络环境中实际上具有着许多弱口令服务器，假定弱口令服务器的登录名都为root、登陆密码都为123456、SSH登陆端口号都为默认设置的22。我有一台服务器在不断的用密码字典登陆这种弱口令机器，取得成功登陆的机器做为肉鸡(傀儡)再次登陆其他机器，假定一台服务器以2台/天的效率开展登陆，那麼我便有三台机器(包含自身的那台)，第二天便是6 3=3^2=9台，第三天就是18 9=3^3=27台，第N天便是3^N台。

见到沒有，肉鸡/傀儡服务器是以指数值等级在提升的!

为什么有人不断登陆他人的机器，得到肉鸡?假如手里有来源于全球的肉鸡，而且总数许多，那去玩法可就多了：

• 看不顺眼哪个网站?控制这种傀儡机器不断的要求该网址，让他人没发用，服务项目偏瘫，这就是传说中的DDoS。
• 想挣点一点钱，悄悄挖币就是你不二的挑选，这么多肉鸡，尽管每一台计算水平不太好，可是协同起來也不可小。这类肉鸡别名挖掘鸡
• 肉鸡做微商?这一话题讨论我不深讲了，内地敏感词汇… …
• 窥视肉鸡主人家数据信息… 达到窥视欲
• 这么多肉鸡意味着您有这么多IP，有很多IP能做什么?这又是此外一个非常庞大的问题了… …

一、基本知识

/var/log/wtmp用以纪录登录成功的使用者的信息内容，是一个二进制文件，只有根据 last指令来查询

rootpts/0100.87.41.98SatFeb1601:28stillloggedin

rootpts/2100.87.41.98FriFeb1511:38-down(01:35)

rootpts/1100.87.41.98FriFeb1511:38-down(01:35)

rootpts/0100.87.41.98FriFeb1511:38-down(01:35)

查看试着故意登陆的前十个IP:

sudolastb|awk'{print$3}'|awk'{ S[$NF]}END{for(ainS)printa,S[a]}'|sort-rk2|head

查询故意IP试着登陆频次:

lastb|awk'{print$3}'|sort|uniq-c|sort-n

自然，假如你需要清除这一日志，删掉在创立之

rm-rf/var/log/btmp

touch/var/log/btmp

/var/log/btmp用以纪录登录失败的使用者的信息内容，是一个二进制文件，只有根据 lastb指令来查询

ejabberdssh:notty123.207.233.84SatFeb1602:08-02:08(00:00)

rsyncssh:notty157.230.102.166SatFeb1602:08-02:08(00:00)

ejabberdssh:notty123.207.233.84SatFeb1602:08-02:08(00:00)

rsyncssh:notty157.230.102.166SatFeb1602:08-02:08(00:00)

/var/log/lastlog用以纪录客户的历史时间登陆状况，是一个二进制文件，只有根据 lastlog指令来查询

UsernamePortFromLatest

rootpts/0100.87.41.98SatFeb1601:28:34 00002019

bin**Neverloggedin**

daemon**Neverloggedin**

adm**Neverloggedin**

/var/run/utmp用以纪录现阶段登陆的使用者的信息内容，是一个二进制文件，只有根据 who指令来查询

rootpts/02019-02-1601:28(100.87.41.98)

二、改动SSH默认设置端口号

自然环境：CentOS 7

流程：新增加SSH端口号–>>重新启动sshd服务项目–>>加上服务器防火墙标准–>>试着新端口号登陆–>>关掉原来的22端口号

1. 新增加SSH端口号(列：1000)

vi/etc/ssh/sshd_config

寻找Port 22这方面，将之前的注解除掉，再加一行Port 1000，如下所示，那样做的目地是避免新端口号登陆不了，老端口号也不能用!

Port22

Port1024

#AddressFamilyany

#ListenAddress0.0.0.0

#ListenAddress::

2. 重新启动sshd服务项目

如果是CentOS 7应用systemctl restart sshd，查看端口是不是起效可以用systemctl status sshd

如果是CentOS 7之前的系统软件，应用/etc/init.d/sshd restart或是service sshd restart

重新启动之后可以当地测试一下端口号通没通，telnet 127.0.0.1 1000

3. 加上服务器防火墙标准

如果是iptables服务器防火墙，实行下边指令加上标准

iptables环境变量部位/etc/sysconfig/iptables

• 加上1000端口号标准
• iptables-AINPUT-mstate--stateNEW-mtcp-ptcp--dport1000-jACCEPT
• 储存标准
• serviceiptablessave
• 重新启动服务项目
• serviceiptablesrestart

假如服务器防火墙是Firewall，参考下边流程：

• 最先检验服务器防火墙是不是早已开启，启用传参runing，相反，为not running
• firewall-cmd--state
• 若沒有开启，必须开启
• systemctlstartfirewalld
• systemctlenablefirewalld
• 若早已开启，则开展下一步
• 查看防火墙的默认设置、活跃性地区(zones)
• 看两根指令的传参是不是带有public，有则为恰当。
• firewall-cmd--get-default-zone
• firewall-cmd--get-active-zones
• 端口号对外开放
• 为了避免出差错，22端口号一同对外开放
• 与临时性开启的差异取决于多了permanent
• firewall-cmd--permanent--zone=public--add-port=22/tcp
• firewall-cmd--permanent--zone=public--add-port=1000/tcp
• 防火墙轻载
• firewall-cmd--reload
• 查询已曝露端口
• firewall-cmd--permanent--list-port
• firewall-cmd--zone=public--list-all

4. 尝试新端口登录

尝试用1000端口开展登录，看是不是取得成功!

5. 关掉原来的22端口

参照里面的实际操作，最先在ssh的环境变量除掉22端口，重新启动sshd服务项目，随后在防火墙配备里边除去22端口，重新启动防火墙!这儿不会再赘述。

6. 改动弱口令为强动态口令

键入更改密码指令

passwd

这时系统提示

Changingpasswordforuserroot.

Newpassword:

键入2次登陆密码并回车键，留意输入支付密码时不容易展示的

Retypenewpassword:

passwd:allauthenticationtokensupdatedsuccessfully.

7. 强烈推荐：

shell随机密码生成函数：

转化成随机密码 ($1 十位数)

#echo$(getRandomPwd10)

#echo$(getRandomPwd)

getRandomPwd(){

num=32

if[$#==1];then

num=$1

fi

echo"$(date %s)$(shuf-i10000-65536-n1)"|sha256sum|base64|head-c$num;echo

}

8. 拓展

尽管上边改动端口和动态口令可以极大提高安全系数，可是在某种情形下不可以改动端口或动态口令，这时可以强烈推荐 DenyHosts或是fail2ban，它可以严禁很多尝试登录的IP。或是可以用比较简单的方法，查询尝试故意登录的前十个IP随后用防火墙严禁它，这儿只给予构思。