ssh 一分钟被打 1000 次， fail2ban 有用吗？

Distributions

中文资源站

This topic created in 1482 days ago, the information mentioned may be changed or developed.

Apr 20 23:40:03 debian99 sshd[2443]: Failed password for invalid user liyanjun from 134.209.229.252 port 44720 ssh2 Apr 20 23:40:03 debian99 sshd[2450]: Failed password for invalid user liyaocheng from 134.209.229.252 port 44948 ssh2 Apr 20 23:40:03 debian99 sshd[2453]: Failed password for invalid user liyifei from 134.209.229.252 port 45180 ssh2 Apr 20 23:40:03 debian99 sshd[2431]: Failed password for invalid user lixy from 134.209.229.252 port 43946 ssh2 Apr 20 23:40:03 debian99 sshd[2415]: Failed password for invalid user lixiang from 134.209.229.252 port 43168 ssh2 Apr 20 23:40:03 debian99 sshd[2459]: Failed password for invalid user liyongmin from 134.209.229.252 port 45918 ssh2 Apr 20 23:40:03 debian99 sshd[2441]: Failed password for invalid user liyanhao from 134.209.229.252 port 44636 ssh2 Apr 20 23:40:03 debian99 sshd[2446]: Failed password for invalid user liyanjun from 134.209.229.252 port 44794 ssh2 @:~$ sudo cat /var/log/auth.log | grep 134.209.229.252 | grep invalid | wc -l 948 @:~$

暂时没用 fail2ban ，自己写个脚本，每一分钟扫一次 auth.log,大于 10 次就 ban ，但是有的 ip 一分钟就能尝试 1000 次，太凶残了，能限制 ssh 并发个数吗，超过 10 个，就不要管了。

Supplement 1 Apr 26, 2022

这么多回复还有收藏，我把脚本贴出来，也是网上搜的，然后改改只能算能用，大家帮忙多提意见。

第一，第二行是搜集auth.log中失败的

第三行是我用ngrok做内网穿透，这台机是服务端，12345是透给内网一台机器的ssh端口，也会被敲，但是不好在内网机器上做类似的屏蔽，因为在内网机器看起来都是127.0.0.1登录的，不能区分正常和恶意的。只好在服务端上查，如果4个以上session同时登录ssh，那就是不正常的，从服务端禁止掉。

这个脚本每分钟运行一次，syslog.conf里关掉cron的log，否则auth.log都是cron的记录。

#!/bin/sh #ssh login fail 4 times,will be put in denyhosts cat /var/log/auth.log |awk '/Failed/{print $(NF-3)}' |sort |uniq -c |awk '{print $2"="$1;}' >/var/log/black.list cat /var/log/auth.log |awk '/Connection closed/{print $( NF-3)}' | sort | uniq -c | awk '{print $2"="$1;}' >> /var/log/black.list netstat -anp |awk '/6:12345/{print$(NF-2)}' | awk -F: '{print$1}' | sort | uniq -c | awk '{print $2"="$1;}' >> /var/log/black.list for i in `cat /var/log/black.list` do IP=`echo $i |awk -F= '{print $1}'` NUM=`echo $i |awk -F= '{print $2}'` if [ $NUM -gt 4 ]; then grep $IP /etc/hosts.deny >/dev/null if [ $? -gt 0 ]; then echo "ALL: $IP" >>/etc/hosts.deny iptables -I INPUT -s $IP -j DROP echo "$IP is denied now."　 fi fi done

Supplement 2 Jun 17, 2022

查日志，2022.6.16-17之间居然封了180个IP，来源全球都有，难道是真的被盯上了，间隔大概10几分钟一波，从下午到半夜。

不过碰巧拨号21天了，早上换了ip。

DROP all -- 50-239-114-84-static.hfc.comcastbusiness.net anywhere
DROP all -- 210-65-10-144.hinet-ip.hinet.net anywhere
DROP all -- host81-133-189-239.in-addr.btopenworld.com anywhere
DROP all -- 125-227-75-51.hinet-ip.hinet.net anywhere
DROP all -- 5.145.161.9 anywhere
DROP all -- 45.55.75.215 anywhere
DROP all -- 123.139.156.125 anywhere
DROP all -- 43.247.102.81 anywhere
DROP all -- 161.132.96.90 anywhere
DROP all -- 11722.228.62 anywhere
DROP all -- 190-107-162-132.levefibra.net.br anywhere
DROP all -- 18.43.175.210.in-addr.arpa anywhere
DROP all -- 190-107-162-136.levefibra.net.br anywhere
DROP all -- 218.92.175.102 anywhere
DROP all -- 191-243-61-57.netpeu.com.br anywhere
DROP all -- ip-36-4.sn3.clouditalia.com anywhere
DROP all -- 125-227-87-122.hinet-ip.hinet.net anywhere
DROP all -- 120.221.150.219 anywhere
DROP all -- 1.234.79.66 anywhere
DROP all -- 223.95.81.159 anywhere
DROP all -- 106.14.61.79 anywhere
DROP all -- ipv4-80-39-78.as55666.net anywhere
DROP all -- 85.184.70.58 anywhere
DROP all -- 110.188.70.99 anywhere
DROP all -- 113.105.94.66 anywhere

65 replies 2022-04-23 03:36:15 +08:00

villivateur

Apr 22, 2022 via Android

禁用密码登录就好了

billgong

Apr 22, 2022 via iPhone

f2b 当然有用了，就是为了防这种情况的。这一点并发问题不大，没必要自己写。

JeromeCui

Apr 22, 2022

如果是自己的机器，把用 geoip 把国外的 ip 全给禁了会好很多

Mithril

Apr 22, 2022

我自己的服务器都是直接把端口封了，需要的时候再从控制台里开。
主要是也没什么需要经常 SSH 上去的工作，甚至有的时候直接用网页的就够了。

lijinma

Apr 22, 2022

禁用密码登陆吧

mingl0280

Apr 22, 2022

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshuser --set
iptables -A INPUT -m recent --update --name sshuser --seconds 3600 --hitcount 5 -j DROP
随便抄了个 IPTables 规则，一小时内只能连接 5 次,超过则阻断。
顺便一提 f2b 其实也差不多……

imnpc

Apr 22, 2022

我的都是密钥登录 + 更换高位端口

deasty

Apr 22, 2022 via iPhone

fail2ban ＋ Google 动态口令

elboble

Apr 22, 2022

@billgong 我看 f2b 原理也是定期扫 log ，1 分钟是最低间隔了，如果不能限制访问频率，那和我这个脚本效果一样啊，1 分钟疯狂跑字典，从 di 跑到 li 了

anytk

Apr 22, 2022

复杂点用 iptables ，简单点 ufw limit ，外加改 ssh 端口，禁止密码登陆

markgor

Apr 22, 2022

>能限制 ssh 并发个数吗，超过 10 个，就不要管了。
那别人一直打，你正常登陆不也登陆不了？

我一般都是改 sshd 端口+f2b 的，但就现有日志来看，就算不加 f2b 也一样。所以建议你还是直接改 ssh 端口吧

cslive

Apr 22, 2022

禁用密码登录，让他扫

GBdG6clg2Jy17ua5

Apr 22, 2022

使用防火墙，平常不用的时候关闭所有目标访问，自己用的时候，允许自己 ip 访问就好了。
我一般情况都不怎么登录 ssh ，只有发布程序的时候登录，感觉还行。

luxor

Apr 22, 2022

这不是被打，而是有人在暴力破解 ssh 的账号。改端口也没啥用，很快就能再次连过来。最有效的办法还是建立 iptables ssh 端口的白名单规则。

elboble

Apr 22, 2022

@mingl0280 这个没限 ip ，被打了自己也上不了吧？

moxuanyuan

Apr 22, 2022

我家里路由器也是。。天天被扫
Fri Apr 22 08:56:40 2022 auth.info sshd[12203]: Invalid user demo from 93.95.230.165 port 54250
Fri Apr 22 08:56:40 2022 auth.info sshd[12203]: Connection closed by invalid user demo 93.95.230.165 port 54250 [preauth]
Fri Apr 22 08:57:09 2022 auth.info sshd[12316]: Invalid user demo from 93.95.230.165 port 54478
Fri Apr 22 08:57:10 2022 auth.info sshd[12316]: Connection closed by invalid user demo 93.95.230.165 port 54478 [preauth]
Fri Apr 22 08:57:39 2022 auth.info sshd[12487]: Invalid user demo from 93.95.230.165 port 54702
Fri Apr 22 08:57:40 2022 auth.info sshd[12487]: Connection closed by invalid user demo 93.95.230.165 port 54702 [preauth]

elboble

Apr 22, 2022

@luxor @anytk @imnpc 已经是高位端口了。
就是普通家宽，看来只能禁止密码登录了事。

wu67

Apr 22, 2022

先把密码登陆关了.
我印象中是可以用白名单的吧? ssh 只放行自己常用的机器的 ip. 当然如果没有公网 ip 、全是动态的, 那可能有点难办

HeyEvan

Apr 22, 2022

我的做法

1. 禁用 root 登录，更改默认 22 端口
2. 服务器防火墙开放 SSH ，云防火墙关闭 SSH
3. 安装 ZeroTier

平时通过 Zerotier 连过去，要是连不上或连接缓慢，直接开放云防火墙，用完再关

aru

Apr 22, 2022

怎么会没用呢。
攻击者的 IP 是有限的，封一个少一个，一段时间就清净了
但是 fail2ban 的默认封禁时间是 10 分钟，记得调成一周或一月，还有扫描时间范围设成 1 天

m4d3bug

Apr 22, 2022 via Android

开个 cockpit 用算了，sshd 都不开

duzhor

Apr 22, 2022

修改以下设置减少 99%攻击

```
生成密钥
ssh-keygen -t rsa -f ~/.ssh/id_rsa -N '' -q
```

把密钥保存到本地

```
#/etc/ssh/sshd_config
Port 23456 #修改 SSH 端口
PermitRootLogin prohibit-password #root 禁止密码和交互登录
PasswordAuthentication no #禁止密码登录
```

修改前记得开启防火墙端口. 重启 ssh 服务

des

Apr 22, 2022 via iPhone

你可能搜索的是端口敲门

makelove

Apr 22, 2022

从来不折腾这种，只要起个合理长度的密码或禁密码就可以了

webshe11

Apr 22, 2022

@elboble #9 我记得 Fail2ban 用的是 inotify 吧？

Mark24

Apr 22, 2022

上周好像有个新闻。美国对中国网络发起攻击。提权了就会当肉鸡攻击俄罗斯、白俄罗斯。

lolizeppelin

Apr 22, 2022

端口改了没....？
没改端口的话,改个端口能屏蔽 95%

iqoo

Apr 22, 2022

ssh 用高位端口，加上 iptables 防端口扫描就可以

https://github.com/EtherDream/anti-portscan

3dwelcome

Apr 22, 2022

@iqoo 我还在想，端口怎么防扫描，原来是下陷阱，真有创意。

FullBridgeRect

Apr 22, 2022

@elboble 如果对自己的用户名密码有自信，f2b 也够用了，即使再凶残被探测到了就 ban 了，就 1 分钟的事

yEhwG10ZJa83067x

Apr 22, 2022

关闭密码登录就不管了，我刚才去看了下每天 10w 条扫描日志，不管他就行了。

davidyin

Apr 22, 2022 via Android

指定允许登录的 IP ，白名单。

yujinchn

Apr 22, 2022

可以设置连续超过多少次就 ban 掉 ip 的吧

yujinchn

Apr 22, 2022

就用 fail2ban 限制，很快的

huangzxx

Apr 22, 2022

正确姿势：换端口，只允许密钥登录

iBugOne

Apr 22, 2022 via Android

fail2ban 没有性能问题，只要你姿势正确。它扫描日志有个 inotify （ pyinotify ）后端，可以随日志变化来增量扫描，就像 tail -f 一样

dengshen

Apr 22, 2022 via iPhone

禁用密码登陆+证书登陆+改 sshd 端口

woshinide300yuan

Apr 22, 2022

我都是用安全组里的限制 IP 访问 22 端口，不知道有用没。反正我不写自己的 IP ，我打不开 SSH 都！~

hgc81538

Apr 22, 2022

改成很+密
例如: ZZ&7A:Y_J@Te2]mM2I#Fy@U?N8jmg~`q|0!M%Zi-|e-8vsD?|9l]llg2!6~q6zkb

tiny1994

Apr 22, 2022

可以试试新出来的工具～
CrowdSec

mingl0280

Apr 22, 2022

@elboble 你自己给你自己的 IP 开白名单啊，有啥困难的？不就是在前面加一条 ACCEPT 的事情？另外不知道为啥你不设这个但是我 22 端口是不用密码的……

bpf2049

Apr 22, 2022

fail2ban 的搜索时间可以说是近实时，基本上 1s 左右可以检测到 login failed 存在并输出到 fail2ban.log

gesse

Apr 22, 2022

直接 ban c 段 ip 啊。

ctro15547

Apr 22, 2022

有用，已经 ban 了几个 W 的 ip 了，每个都封 1 个月爱打就打吧累了

shellic

Apr 22, 2022

禁掉密码登录换密钥登录，瞬间清净了

documentzhangx66

Apr 22, 2022

这其实非常简单。

攻击者，会先扫描 tcp 22 端口，如果扫不出来，才去扫高位端口。

所以，你在服务器上，先把 ssh 改为高位端口，然后做个脚本：

只要有 IP 连接 tcp 22 ，直接永久封掉它的 IP 。

cco

Apr 22, 2022

从来不开放 22 端口
从来不使用密码登录

linglin0924

Apr 22, 2022

当时端口默认，也是一堆脚本小子扫。后来端口改成 6w+以上，每次登录的 banner 就很清爽了。

justseemore

Apr 22, 2022

加个 2fa 就屏蔽了大部分了..

elboble

Apr 22, 2022

@documentzhangx66 是个办法，但是不能轮询，要用中断。

SpicaStar

Apr 22, 2022

22 端口只对 ipv6 开放不就行了，如果是服务器域名不要直接解析到机器上
想扫你无异于大海捞针

datocp

Apr 22, 2022 via Android

搜索一下 iptables recent hacker/ipset ，实现一点不输 fail2ban 。制造陷阱，动态封锁。

documentzhangx66

Apr 22, 2022

@elboble 直接改 fail2ban 的代码就是轮询，改 iptables 代码就是中断。看你怎么用。我喜欢后者。

acbot

Apr 22, 2022

除开 Web 80 443 这种端口不方便改之外，其他服务改非常用端口 + IP 白名单段（不要给我说动态 IP ，或者说么有公网啥的，我要说在现有大 NAT 环境下，都不难统计出来），能解决大部分安全问题！

AS4694lAS4808

Apr 22, 2022 via Android

@m4d3bug 如果要远程管理还得开着 sshd 。。

icegaze

Apr 22, 2022 via Android

敲端口很好，
自己设置几个不特定端口顺序，
能杜绝一切 ssh 登录的尝试… …

yungo8

Apr 22, 2022 via Android

host.deny 禁 22 host.allow 再允许国内的 ip 段，比如我就 allow 我这个省份，最后一道防线是定时处理日志找出 ip 用 iptable 禁用

pengtdyd

Apr 22, 2022

换端口啊！！！！！！把 22 端口封了

EVJohn

Apr 22, 2022

换端口，或者上个 zerotier/tinc/wg ，22 只对 sdlan 服务

MilkShake

Apr 22, 2022

换端口+key 登陆+防火墙白名单。

tomcats

Apr 22, 2022

看了你的贴，我才想起我有 2 台 vps ，买了几年一直都是默认的，上去看了下日志，幸好我密码够长字符种类够多，没被破解。赶紧改了端口，禁止密码登陆，日志干净多了。

docx

Apr 22, 2022 via iPhone

sshd 整个白名单，只加自己常用的 IP 段，一般都能安静了

YaakovZiv

Apr 22, 2022

不需要往系统里安软件，如果自己发起访问的 IP 是固定的，在虚拟防火墙开启白名单，只允许制定 IP 进行 ssh ，其他的会自动被虚拟防火墙拦截，系统内无开支压力。系统内安软件，量大的时候，系统就浪费一部分资源。

Dart

Apr 22, 2022

这种不是用 aws 的 security group 吗

saleacy

Apr 23, 2022 via Android

我服务端防火墙是关闭状态就把 ssh 端口禁止 root 登录脚本遍历 secure 一分钟超过三次拉入 hosts.deny