Ekkles' Diary

All human wisdom is summed up in two words: Wait and Hope

0%

防止SSH被暴力破解,修改SSH端口

最近开始学习使用自己的VPS,也遇上各种各样的问题。 不过拿到服务器的第一件事,就是要保证自己服务器的安全性。端口扫描脚本是一个很厉害的东西,也十分让人烦恼。 初次购买的VPS默认SSH端口为22,如果有看登入记录会发现一旦IP地址暴露到网络,每时每刻都有人在尝试破解密码,每次登录都能看到成百上千,有时甚至几万的失败次数。 而修改端口则是最一劳永逸的办法,只要没有人定点爆破的话基本上就足够安全了。

手动修改端口

修改ssh配置文件并重启ssh服务

1
vi /etc/ssh/sshd_config

找到Port行,去掉头部的#,修改为自定义端口(推荐10000以上)

1
2
3
4
# Debian / Ubuntu
service ssh restart
# CentOS / RHEL
service sshd restart

这是最简单的一种方式,也是效率最高的一种方式,90%以上的通过脚本的暴力破解都盯着22端口去,很少有人愿意好肥成本去扫描其他的端口。

一键脚本Fail2ban

因为一键脚本操作更为方便,因此搬运至此。Fail2ban

功能

  • 自助修改SSH端口
  • 自定义最高封禁IP的时间(以小时为单位)
  • 自定义SSH尝试连接次数
  • 一键完成SSH防止暴力破解

支持系统

  • Centos 6/7 (x86/x64)
  • Ubuntu 14.04 (x86/x64)
  • Ubuntu 16.10 (x86/x64)
  • Debian 7 (x86/x64)
  • Debian 8 (x86/x64)

安装

1
wget https://raw.githubusercontent.com/FunctionClub/Fail2ban/master/fail2ban.sh && bash fail2ban.sh 2>&1  tee fail2ban.log
  1. 第一步选择是否修改SSH端口。
  2. 第二部输入最多尝试输入SSH连接密码的次数
  3. 第三部输入每个恶意IP的封禁时间(单位:小时)

卸载

1
wget https://raw.githubusercontent.com/FunctionClub/Fail2ban/master/uninstall.sh && bash uninstall.sh

注意事项

  1. 如果你需要更改SSH端口,请记得在防火墙或者安全组中开放新的SSH端口
  2. 安装完成后请会重启SSH服务,请重新连接SSH会话
  3. 若出现SSH无法连接的情况,请检查是否修改过SSH端口,请填写写改后的正确端口进行连接