在CentOS系统中,防止SFTP暴力破解攻击可以通过以下几种方法实现:
Fail2Ban是一个入侵防御软件框架,它可以监控日志文件并根据配置的规则禁止恶意IP地址。
sudo yum install fail2ban -y
编辑Fail2Ban的配置文件 /etc/fail2ban/jail.local 或创建一个新的配置文件:
sudo vi /etc/fail2ban/jail.local
添加以下内容:
[DEFAULT]
bantime = 600
findtime = 600
maxretry = 3
[sshd]
enabled = true
port = sshd
filter = sshd
logpath = /var/log/secure
maxretry = 3
bantime = 600
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
PAM可以用来限制失败的登录尝试次数。
编辑 /etc/pam.d/sshd 文件:
sudo vi /etc/pam.d/sshd
在文件顶部添加以下行:
auth required pam_tally2.so onerr=fail deny=3 unlock_time=600
sudo systemctl restart sshd
你可以使用iptables来限制每个IP地址的连接速率。
sudo yum install iptables-services -y
编辑iptables配置文件 /etc/sysconfig/iptables 或直接在命令行中添加规则:
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 3 -j DROP
sudo systemctl restart iptables
使用SSH密钥认证可以减少暴力破解攻击的可能性,因为攻击者需要获取用户的私钥才能登录。
ssh-keygen -t rsa -b 4096
ssh-copy-id user@server_ip
定期更新系统和软件可以修复已知的安全漏洞,减少被攻击的风险。
sudo yum update -y
通过以上方法,你可以有效地防止SFTP暴力破解攻击,提高系统的安全性。