Freebsd 下用 sshguard 防止暴力破解 ssh 密码

kukusky

原文： http://tmublr.com/blog/sshguard

在 Freebsd 控制台或用 dmesg -a 查看系统消息的时候会发现类似于下面的大量信息，这是因为有人在尝试暴力破解 SSH 密码的原因。

Jun 22 06:42:00 vps sshd[80092]: error: PAM: authentication error for illegal user nuucp from 200.79.53.211
Jun 22 06:44:12 vps sshd[80118]: error: PAM: authentication error for illegal user nx from 87.139.25.251
Jun 22 06:47:00 vps sshd[80138]: error: PAM: authentication error for illegal user ocs from 85.41.229.81
Jun 22 06:49:23 vps sshd[80144]: error: PAM: authentication error for illegal user office1 from 211.25.200.194

Freebsd 下最常用的管理软件是SSH，SSH 本身可以限制一个IP输错多少次密码之后可以断掉链接，但不会封 IP ，攻击依旧可以持续链接来穷举密码。如果想在一定时间内封掉对方IP 的话，让其无法链接，可以通过 sshguard 来实现。

sshguard 可以与 Pf，IPFW，netfilter/iptables 等几个软件结合来实现输入密码错误多次之后禁止该 IP 再访问服务器的SSH端口。

安装和使用

cd /usr/ports/security/sshguard-ipfw/
make install clean
编辑 /etc/syslog.conf

把下面一行前面的 # 去掉。

#auth.info;authpriv.info     |exec /usr/local/sbin/sshguard
重启 syslogd

/etc/rc.d/syslogd restart
等待一段时间，查看控制台或 dmesg -a ，出现下面类似消息说明 sshguard 已经正常运行了。

Jun 22 06:59:43 vps sshguard[79469]: Blocking 89.120.242.95:4 for >420secs: 4 failures over 0 seconds.

进一步增强安全性

FreeBSD 的 sshd_config 配置中默认允许用户输错 6 次密码，这也就是说之前设置的 sshguard 在对方尝试六次后才封 ip ，为了进一步缯强安全性，我们可以修改这一参数。

vi /etc/ssh/sshd_config
去掉 #MaxAuthTries 6 前面的 # 号，并修改为 2

MaxAuthTries 2

zmoon

直接换成key认证，把passwd认证方式禁止掉，一劳永逸

mirnshi

换端口，也能起到一定的防治作用

wellwong

22端口限制ip地址，ssh用key认证，这还不够安全？

llzqq

关于换SSHD监听端口改为非22的考虑：

99%的对TCP22端口的扫描是俗称“机器人”的扫描程序发起的试探性动作，它依据密码字典不断尝试登录。

通常情况下这类扫描程序扫描SSHD的默认端口为22。故而改掉SSHD的默认端口是有意义的。当然如果有人盯上了你的服务器，改端口就意义不大了，这时SSH+KEY为上上策。

mirnshi

回复 5# llzqq

被盯上，搞入侵freebsd的难度很高，还不如ddos呢，简单方便，一招毙敌

b1uesky

回复 1# kukusky


    我看见日志里边大量的这类信息，已经把外网端口的22端口封掉了，我惹不起，躲还是可以的。