1.为什么受攻击

1.1什么是暴力破解攻

暴力破解攻击是指攻击者通过系统地组合并尝试所有的可能性以破解用户的用户名、密码等敏感信息。攻击者往往借助自动化脚本工具来发动暴力破解攻击。

1.1.1攻击行为类型

根据暴力破解的穷举方式，其攻击行为可以分为：

字典攻击法。大多攻击者并没有高性能的破解算法和CPU/GPU，为节省时间和提高效率，会利用社会工程学或其它方式建立破译字典，使用字典中已存在的用户名、密码进行猜破。穷举法。攻击者首先列出密码组合的可能性（如数字、大写字母、小写字母、特殊字符等），然后按密码长度从1位、2位….构成不同的账号和密码对，然后逐个猜试。该方法需要高性能的破解算法和CPU/GPU作支持。组合式攻击法。使用字典攻击和穷举法的组合攻击方式。

理论上，只要拥有性能足够强的计算机和足够长的时间，大多密码均可以被破解出来。

1.1.2攻击业务类型

针对Windows操作系统的远程桌面管理协议（RDP）、Linux操作系统的管理协议（SSH）的暴力破解攻击针对具有登录认证机制的软件服务（如Mysql、SQLserver、FTP、Web前后端登录接口等应用服务）的暴力破解攻击

对于防御者而言，给攻击者留得时间越长，其组合出正确的用户名和密码的可能性就越大。因此，时间在检测暴力破解攻击时很重要。

1.2暴力破解攻击有什么危害

通过自动化工具发起的暴力破解攻击可以获取用户账号和密码。

1.3如何防御暴力破解攻击

制定密码复杂度策略，并进行服务加固。密码的长度要大于 8 位，且最好大于 20 位；密码应由数字、大小写字母和特殊符号混合组成；密码的最长有效期为 90 天。配置好网络访问控制。严格限制将高危服务管理端口直接发布到互联网；建议您使用 VPN 和堡垒机的方式集中管理和审计。提高内部全员安全意识，禁止借用或共享使用账号。

2.相关查看命令

2.1查看登陆信息

2.1.1查看是否有异常登陆

last

2.1.2以什么途径被攻击

cat /var/log/secure

port 1579这个端口是客户端使用随机端口来连接服务器ssh服务的

2.2.查看服务器运行状

2.2.1查看磁盘使用情况

top

TOP命令详解

2.2.2查看是否有定时任务

crontab -l

2.3.查看操作记录

2.3.1查看当前IP用户历史操作记录

history

# 查看更多操作记录cat ~/.bash_history

2.3.2查看某用户某个时间点登陆之后的操作记录

record

3.临时解决方式

3.1将异常登陆IP加入黑名单

3.1.1阿里云web端（安全组）

3.1.2服务器端

cat /etc/hosts.deny

4.服务器安全加固

4.1使用密钥对方式连接

4.1.1密钥对简介

功能优势

相较于用户名和密码认证方式，SSH密钥对有以下优势：

安全性：SSH密钥对登录认证更为安全可靠。 密钥对安全强度远高于常规用户口令，可以杜绝暴力破解威胁。不可能通过公钥推导出私钥。 便捷性： 如果您将公钥配置在Linux实例中，那么，在本地或者另外一台实例中，您可以使用私钥通过SSH命令或相关工具登录目标实例，而不需要输入密码。便于远程登录大量Linux实例，方便管理。如果您需要批量维护多台Linux实例，推荐使用这种方式登录。

使用限制

使用SSH密钥对有如下限制：

如果使用SSH密钥对登录Linux实例，将会禁用密码登录，以提高安全性。仅支持Linux实例。目前，ECS只支持创建2048位的RSA密钥对。一个云账号在一个地域最多可以拥有500个密钥对。通过控制台绑定密钥对时，一台Linux实例只能绑定一个密钥对，如果您的实例已绑定密钥对，绑定新的密钥对会替换原来的密钥对。 如果您有使用多个密钥对登录实例的需求，可以在实例内部手动修改~/.ssh/authorized_keys文件，添加多个密钥对。

4.1.2密钥对使用

生成密钥对

登录ECS管理控制台。

在左侧导航栏，选择网络与安全 > 密钥对。

在顶部菜单栏左上角处，选择地域。

单击创建密钥对。

在创建密钥对页面，完成以下配置。

单击确定。

导入密钥对

登录ECS管理控制台。

在左侧导航栏，单击网络与安全 > 密钥对。

在顶部菜单栏左上角处，选择地域。

单击创建密钥对。

设置密钥对名称，并选择导入已有密钥对。

说明：密钥对名称不能重复。否则，控制台会提示密钥对已存在。

在公钥内容文本框中，输入要导入的公钥。

单击确定。

绑定密钥对

登录ECS管理控制台。

在左侧导航栏，单击网络与安全 > 密钥对。

在顶部菜单栏左上角处，选择地域。

找到需要操作的密钥对，在操作列中，单击绑定密钥对。

在选择ECS实例栏中，选中需要绑定该密钥对的ECS实例名称，单击**>图标，移入已选择**栏中。

如果选择ECS实例栏中的ECS实例名称显示为灰色，表示该实例为Windows实例，不支持SSH密钥对。

单击确定。

如果ECS实例处于运行中（Running）状态，重启实例使操作生效：

在左侧导航栏，单击实例与镜像 > 实例。找到需要操作的实例，在操作列中，选择更多 > 实例状态 > 重启。在重启实例弹窗中，单击确定。

4.2使用普通用户登陆

4.2.1为什么用普通有户登陆

自身安全问题

先用普通用户进入 再切换成管理员，是一个良好的习惯，主要是用于防止误操作。因为root用户具有最高权限，一些很危险的操作 如rm -Rivf 等操作是没有任何提示的删除，极有可能删掉重要的文件。

root权限可以对任何文件进行修改，万一操作错误，就可能导致系统崩溃，一般良好的操作习惯，都不用root身份。除非实在要root的时候才用。有些系统，默认也是禁止root远程登录，同样也是安全考虑。

linux一般是企业建立服务器用的，网络维护人员99%都是通过ssh远程上去对服务器进行维护的。一般服务器本身缺省设置，为了安全考虑，都屏蔽了root远程登录，管理员都是通过普通用户，远程登录上去。如果需要操作root权限的事情，才通过su编程root身份。

再比如执行某些重要脚本如全系统备份等（在业务高峰期时不应该作此操作），会对系统性能造成重大影响。

被入侵安全问题

万一被入侵，不会获取root权限，进行删除操作。

4.2.2使用普通用户

4.3Linux操作系统安全加固

4.3.1. 账号和口令

(1) 禁用或删除无用账号

减少系统无用账号，降低安全风险。

操作步骤

使用命令userdel <用户名>删除不必要的账号。使用命令passwd -l <用户名>锁定不必要的账号。使用命令passwd -u <用户名>解锁必要的账号。

(2) 检查特殊账号

检查是否存在空口令和root权限的账号。

操作步骤

查看空口令和root权限账号，确认是否存在异常账号： 使用命令awk -F: '($2=="")' /etc/shadow查看空口令账号。使用命令awk -F: '($3==0)' /etc/passwd查看UID为零的账号。 加固空口令账号： 使用命令passwd <用户名>为空口令账号设定密码。确认UID为零的账号只有root账号。

(3) 添加口令策略

加强口令的复杂度等，降低被猜解的可能性。

操作步骤

使用命令

vi /etc/login.defs

修改配置文件。

PASS_MAX_DAYS 90 #新建用户的密码最长使用天数PASS_MIN_DAYS 0 #新建用户的密码最短使用天数PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数

使用chage命令修改用户设置。

例如，chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名>表示将此用户的密码最长使用天数设为30，最短使用天数设为0，密码2000年1月1日过期，过期前七天警告用户。

设置连续输错三次密码，账号锁定五分钟。使用命令vi /etc/pam.d/common-auth修改配置文件，在配置文件中添加auth required pam_tally.so onerr=fail deny=3 unlock_time=300。

(4) 限制用户su

限制能su到root的用户。

操作步骤

使用命令vi /etc/pam.d/su修改配置文件，在配置文件中添加行。例如，只允许test组用户su到root，则添加auth required pam_wheel.so group=test。

(5) 禁止root用户直接登录

限制root用户直接登录。

操作步骤

创建普通权限账号并配置密码,防止无法远程登录;使用命令vi /etc/ssh/sshd_config修改配置文件将PermitRootLogin的值改成no，并保存，然后使用service sshd restart重启服务。

4.3.2 服务

(1) 关闭不必要的服务

关闭不必要的服务（如普通服务和xinetd服务），降低风险。

操作步骤

使用命令systemctl disable <服务名>设置服务在开机时不自动启动。

说明： 对于部分老版本的Linux操作系统（如CentOS 6），可以使用命令chkconfig --level <init级别> <服务名> off设置服务在指定init级别下开机时不自动启动。

(2) SSH服务安全

对SSH服务进行安全加固，防止暴力破解成功。

操作步骤

使用命令vim /etc/ssh/sshd_config编辑配置文件。

不允许root账号直接登录系统。

设置 PermitRootLogin 的值为 no。修改SSH使用的协议版本。

设置 Protocol 的版本为 2。修改允许密码错误次数（默认6次）。

设置 MaxAuthTries 的值为 3。

配置文件修改完成后，重启sshd服务生效。

4.3.3 文件系统

(1) 设置umask值

设置默认的umask值，增强安全性。

操作步骤

使用命令vi /etc/profile修改配置文件，添加行umask 027， 即新创建的文件属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。

（2） 设置登录超时

设置系统登录后，连接超时时间，增强安全性。

操作步骤

使用命令vi /etc/profile修改配置文件，将以TMOUT=开头的行注释，设置为TMOUT=180，即超时时间为三分钟。

4.3.4 日志

(1) syslogd日志

启用日志功能，并配置日志记录。

操作步骤

Linux系统默认启用以下类型日志：

系统日志（默认）/var/log/messagescron日志（默认）/var/log/cron安全日志（默认）/var/log/secure

注意：部分系统可能使用syslog-ng日志，配置文件为：/etc/syslog-ng/syslog-ng.conf。

您可以根据需求配置详细日志。

(2) 记录所有用户的登录和操作日志

通过脚本代码实现记录所有用户的登录操作日志，防止出现安全事件后无据可查。

操作步骤

运行[root@xxx /]# vim /etc/profile打开配置文件。

在配置文件中输入以下内容：

historyUSER=`whoami`USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]; thenUSER_IP=`hostname`fiif [ ! -d /var/log/history ]; thenmkdir /var/log/historychmod 777 /var/log/historyfiif [ ! -d /var/log/history/${LOGNAME} ]; thenmkdir /var/log/history/${LOGNAME}chmod 300 /var/log/history/${LOGNAME}fiexport HISTSIZE=4096DT=`date +"%Y%m%d_%H:%M:%S"`export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

运行[root@xxx /]# source /etc/profile加载配置生效。

注意： /var/log/history 是记录日志的存放位置，可以自定义。

通过上述步骤，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有操作（root用户除外）。