在Linux中，root几乎拥有所有的权限，一旦root用户密码外泄，对于服务器而言将是致命的威胁，禁止root用户通过ssh的方式远程登录，这样即使root用户密码外泄也能够保障服务器的安全。前些天发现登陆失败异常的多，看了一下登陆ip，真的是遍布世界各地……

last 查看登录成功的用户信息，最新的登录记录在最前面last | less，查看登录失败的用户信息lastb

查看登录日志tail /var/log/secure

 

创建一个普通用户xxx并加入相应的组，同时禁用root的远程登陆，修改ssh端口22作为默认端口保留，添加新端口n，设置最多登录失败次数3。通过vim /etc/ssh/sshd_config

进入文件修改。

adduser xxx

passwd xxx以更改密码

修改sshd_config文件

sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

重启ssh服务

service sshd restart

然而三天后我再次登陆发现，情况并没有好转，于是就加入了这段多次失败禁用ip。

vi /usr/local/bin/secure_ssh.sh

#! /bin/bash

cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list

for i in `cat  /usr/local/bin/black.list`

do

  IP=`echo $i |awk -F= '{print $1}'`

  NUM=`echo $i|awk -F= '{print $2}'`

  if [ ${#NUM} -gt 1 ]; then

    grep $IP /etc/hosts.deny > /dev/null

    if [ $? -gt 0 ];then

      echo "sshd:$IP:deny" >> /etc/hosts.deny

    fi

  fi

done

将secure_ssh.sh脚本放入cron计划任务，每1分钟执行一次。

vi /var/spool/cron/root

*/1 * * * *  sh /usr/local/bin/secure_ssh.sh

看看服务器上的黑名单文件：

cat /usr/local/bin/black.txt

再看看服务器上的hosts.deny

cat /etc/hosts.deny

 

更多参考：

https://blog.csdn.net/ausboyue/article/details/53691953

http://huikon.cn/post-330.html

https://www.cnblogs.com/panblack/p/secure_ssh_auto_block.html