服务器SSH暴力破解攻击防护与安全加固实战

1. 服务器安全事件背景分析

上周五凌晨3点17分，我负责维护的某电商平台订单处理服务器突然出现CPU满载告警。登录服务器后发现大量异常登录尝试记录，/var/log/secure日志显示有超过2000次来自不同IP的SSH登录失败记录。这种情况明显是遭遇了分布式暴力破解攻击（Brute Force Attack），攻击者通过自动化工具尝试用常见用户名密码组合轮番轰炸服务器。

暴力破解是最常见的服务器入侵手段之一。根据2023年网络安全报告显示，全球互联网上平均每台暴露在公网的服务器每天会遭遇超过500次暴力破解尝试。攻击者通常使用以下三种典型手段：

• 字典攻击：使用包含数百万常见密码的字典文件
• 组合攻击：尝试用户名密码的各种排列组合
• 凭证填充：利用其他网站泄露的账号密码进行尝试

2. 应急响应与攻击阻断

2.1 实时攻击阻断操作

发现攻击后的第一要务是立即切断攻击链。我采取了以下紧急措施：

1. 使用iptables临时封禁可疑IP段：

bash复制# 查看当前连接
netstat -tnpa | grep ESTABLISHED

# 封禁可疑IP段
iptables -A INPUT -s 45.156.XX.0/24 -j DROP
iptables -A INPUT -s 185.143.XX.0/24 -j DROP

2. 修改SSH默认端口（临时方案）：

bash复制vim /etc/ssh/sshd_config
# 修改Port 22为其他端口如58222
systemctl restart sshd

重要提示：修改端口后务必确保新端口在防火墙中已放行，否则会导致自己也无法连接

2.2 攻击源分析与取证

通过分析/var/log/secure日志，发现攻击呈现以下特征：

• 主要针对root、admin、test等常见用户名
• 使用密码包括"password123"、"admin@123"等弱密码组合
• IP来源集中在东欧和东南亚地区
• 攻击频率达到每分钟50-80次尝试

使用fail2ban工具可以自动化封禁行为：

bash复制# 安装fail2ban
yum install fail2ban -y  # CentOS
apt-get install fail2ban -y  # Ubuntu

# 配置SSH防护
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vim /etc/fail2ban/jail.local

# 修改以下参数
[sshd]
enabled = true
maxretry = 3  # 3次失败后封禁
bantime = 86400  # 封禁24小时

3. 长期防护方案部署

3.1 SSH安全加固最佳实践

1. 禁用密码登录，改用密钥认证：

bash复制# 生成密钥对（在本地机器）
ssh-keygen -t rsa -b 4096

# 上传公钥到服务器
ssh-copy-id -p 58222 user@server_ip

# 修改SSH配置
vim /etc/ssh/sshd_config
PasswordAuthentication no  # 禁用密码登录
PubkeyAuthentication yes  # 启用密钥认证

2. 限制root直接登录：

bash复制PermitRootLogin no  # 禁止root直接SSH登录
AllowUsers deploy admin  # 只允许特定用户登录

3. 启用两步验证（2FA）：

bash复制# 安装Google Authenticator
yum install google-authenticator -y

# 初始化配置
google-authenticator

# 修改SSH配置
vim /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes

3.2 网络层防护策略

1. 配置云防火墙规则：

• 只开放必要的业务端口
• 设置IP白名单（仅允许办公网络IP访问管理端口）
• 启用DDoS防护服务

2. 使用端口敲门（Port Knocking）技术：

bash复制# 安装knockd
yum install knockd -y

# 配置示例（/etc/knockd.conf）
[options]
    UseSyslog

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 10
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

[closeSSH]
    sequence    = 9000,8000,7000
    seq_timeout = 10
    command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

4. 安全监控与日志分析

4.1 实时监控方案

部署OSSEC入侵检测系统：

bash复制# 安装OSSEC
yum install ossec-hids-server -y

# 关键配置（/var/ossec/etc/ossec.conf）
<syscheck>
    <frequency>43200</frequency>
    <alert_new_files>yes</alert_new_files>
    <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
</syscheck>

<localfile>
    <log_format>syslog</log_format>
    <location>/var/log/secure</location>
</localfile>

4.2 日志集中分析

使用ELK堆栈实现日志集中分析：

1. Filebeat收集日志
2. Logstash解析过滤
3. Elasticsearch存储索引
4. Kibana可视化展示

关键安全事件告警规则示例：

json复制{
  "query": {
    "bool": {
      "must": [
        { "match": { "message": "Failed password" } },
        { "range": { "@timestamp": { "gte": "now-5m" } } }
      ],
      "filter": {
        "script": {
          "script": {
            "source": "doc['source.ip'].values.length > 3",
            "lang": "painless"
          }
        }
      }
    }
  }
}

5. 灾备与恢复预案

5.1 入侵后的应急检查清单

1. 检查可疑用户账号：

bash复制cat /etc/passwd | grep -E "/bin/bash|/bin/sh"

2. 检查异常进程：

bash复制ps auxf | grep -E "[a-z0-9]{32}|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"

3. 检查定时任务：

bash复制crontab -l
ls -la /etc/cron*

4. 检查网络连接：

bash复制ss -tnap
lsof -i

5.2 系统恢复流程

1. 隔离受影响系统
2. 从备份恢复关键数据
3. 重装操作系统
4. 审计所有访问凭证
5. 更新所有安全补丁

备份策略示例：

bash复制# 每日增量备份
tar -g /backup/snapshot -czpf /backup/incr-$(date +%Y%m%d).tar.gz /data

# 每周全量备份
tar -czpf /backup/full-$(date +%Y%m%d).tar.gz /data

6. 安全加固检查清单

以下是我总结的服务器安全自检表，建议每月执行一次：

在实际运维中，我发现很多管理员容易忽视以下几点：

1. 没有定期轮换SSH密钥（建议每6个月更换一次）
2. 忘记更新内部服务的默认凭证
3. 备份数据没有做加密处理
4. 没有测试备份恢复流程的有效性

最后分享一个实用技巧：使用以下命令可以一键分析服务器安全状态：

bash复制wget -qO- https://raw.githubusercontent.com/CISOfy/lynis/master/lynis | bash