在CentOS上防止SFTP暴力破解,可以采取以下措施:
/etc/pam.d/sshd
文件,添加以下行:auth required pam_tally2.so onerr=fail deny=5 unlock_time=300
这将限制用户在5次失败尝试后锁定账户300秒(5分钟)。/etc/ssh/sshd_config
文件,找到并修改以下行:PasswordAuthentication no
这将强制用户使用SSH密钥进行认证,从而减少暴力破解的风险。iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 5/min -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
这将限制每分钟最多5次新的SSH连接尝试。启用详细的日志记录:
确保/etc/ssh/sshd_config
中的以下行未被注释:
LogLevel VERBOSE
这将提供更详细的登录尝试日志,便于监控和分析。
使用日志分析工具:
使用如fail2ban
等工具自动检测和阻止恶意IP地址。
yum update
以确保所有软件包都是最新的,包括SSH和相关的安全补丁。yum install fail2ban
systemctl start fail2ban
systemctl enable fail2ban
然后编辑/etc/fail2ban/jail.local
文件,添加以下内容:[sshd]
enabled = true
port = sshd
filter = sshd
logpath = /var/log/secure
maxretry = 5
bantime = 300
通过以上措施,可以显著提高CentOS上SFTP服务的安全性,有效防止暴力破解攻击。