在CentOS系统中,防止SFTP暴力破解可以通过以下几种方法来实现:
Fail2Ban是一个入侵防御软件框架,可以监控日志文件并根据配置的规则禁止恶意IP地址。
sudo yum install fail2ban -y
编辑Fail2Ban的配置文件 /etc/fail2ban/jail.local,添加SFTP相关的配置:
[DEFAULT]
bantime = 600
findtime = 600
maxretry = 3
[sshd]
enabled = true
port = sshd
filter = sshd
logpath = /var/log/secure
maxretry = 3
bantime = 600
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
PAM可以用来限制登录尝试次数。
编辑 /etc/pam.d/sshd 文件,添加以下行:
auth required pam_tally2.so onerr=fail deny=3 unlock_time=600
sudo yum install libpam-modules -y
可以使用iptables来限制每个IP地址的连接速率。
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 3 -j DROP
sudo service iptables save
使用SSH密钥认证可以减少暴力破解的可能性。
ssh-keygen -t rsa -b 4096
ssh-copy-id user@server_ip
编辑 /etc/ssh/sshd_config 文件,进行以下修改:
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM yes
sudo systemctl restart sshd
通过以上方法,可以有效地防止SFTP暴力破解,提高系统的安全性。