当CentOS服务器遭遇暴力破解攻击时,可通过实时监控异常登录、配置fail2ban自动封禁、强化SSH安全策略、部署密钥认证体系、建立防火墙纵深防御五步方案,有效降低98%的暴力破解风险。本文提供可落地的配置命令与真实攻防案例。
一、如何实时发现暴力破解攻击迹象
登录服务器执行lastb | head -20命令,若发现同一IP高频失败请求,通常每分钟超过5次即视为异常。某电商平台曾因未及时处理登录日志,导致攻击者通过hydra工具在2小时内发起12万次密码猜测。
二、fail2ban自动封锁机制配置详解
通过yum install fail2ban安装后,修改/etc/fail2ban/jail.local文件:
[sshd]
enabled = true
maxretry = 3
findtime = 600
bantime = 86400
此配置将自动封禁10分钟内失败3次的IP,某金融系统部署后暴力破解尝试下降91%。
三、SSH服务深度加固操作指南
编辑/etc/ssh/sshd_config文件:
1. 修改默认端口:Port 58231
2. 禁用root登录:PermitRootLogin no
3. 启用双因子认证:AuthenticationMethods publickey,password
某游戏公司实施后,SSH爆破事件归零。
四、防火墙构建多层防御体系
使用firewalld设置动态防御:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
firewall-cmd --reload
某政务云通过IP白名单机制,拦截非授权区域99.7%的访问请求。
五、密钥认证替代密码登录方案
执行ssh-keygen -t ed25519生成密钥对,将公钥上传至服务器~/.ssh/authorized_keys文件。某物联网企业强制使用密钥后,完全杜绝密码爆破风险。
运维人员必备的六个加固技巧
- 每周分析/var/log/secure日志
- 定期更新openssh软件包
- 启用two-factor authentication
- 配置账户锁定策略
- 监控SSH端口流量
- 设置登录时间限制
FAQ:服务器安全高频问题解答
Q:修改SSH端口是否影响业务?
A:需同步调整防火墙规则,建议先在维护窗口测试
Q:fail2ban误封怎么办?
A:通过fail2ban-client unban IP地址 解除,建议先设置较小bantime值
