網絡上的伺服器很容易受到攻擊,最慘的就是被人登入并拿到root權限。有幾個簡單的防禦措施:
1. 修改ssh服務的預設端口。
ssh服務的預設端口是22,一般的惡意使用者也往往掃描或嘗試連接配接22端口。是以第一步就是修改這個預設端口
打開/etc/ssh/sshd_config,找到
Port 22
然後将22修改為其它沒有被占用的端口,如1022。最好在1-1024之間,防止與使用者程序端口沖突。
然後重新開機sshd即可
sudo /etc/init.d/ssh restart
2. 限制IP
首先修改/etc/hosts.allow檔案,将可通路伺服器ssh服務的客戶IP加入其中,格式如下
sshd:192.168.1.0/255.255.255.0
sshd: 202.114.23.45
sshd: 211.67.67.89
然後修改/etc/hosts.deny檔案,加入禁用其它客戶連接配接ssh服務
sshd: ALL
3.更新伺服器
矛與盾的故事永遠沒有結局,經常更新伺服器是必備的
apt-get update
apt-get dist-upgrade
本文以上部分摘自:http://zfsn.iteye.com/blog/1224212
/
4.檢查登入日志
不怕一萬,就怕萬一,沒有攻不破的城堡,有些小偷可能是小白,或者來也匆匆,去也匆匆,在伺服器上做完壞事沒有擦除痕迹,是以經常檢查登入日志,也是一種安全手段
more /var/log/secure
who /var/log/wtmp
最後一直使用了who /var/log/wtmp語句 ,才得到了我想要的資料,如下:
因為我這裡隻是做簡單的示範,就直接使用root賬号進行登入了。
[email protected]:~# who /var/log/wtmp
root tty1 2018-10-07 13:00
root pts/0 2018-10-29 17:12 (117.136.32.98)
root pts/1 2018-10-29 17:16 (117.136.32.98)
root pts/2 2018-10-29 17:16 (117.136.32.98)
root pts/3 2018-10-29 17:17 (117.136.32.98)
root pts/4 2018-10-29 17:17 (117.136.32.98)
root pts/5 2018-10-29 17:17 (117.136.32.98)
root pts/6 2018-10-29 17:17 (117.136.32.98)
root pts/7 2018-10-29 17:17 (117.136.32.98)
root pts/8 2018-10-29 17:21 (117.136.32.98)
root pts/9 2018-10-29 17:21 (117.136.32.98)
root pts/10 2018-10-29 17:21 (117.136.32.98)
root pts/11 2018-10-29 17:21 (117.136.32.98)
root pts/12 2018-10-29 17:22 (117.136.32.98)
root pts/13 2018-10-29 17:27 (117.136.32.98)
[email protected]:~#
以上是我使用本地的ssh遠端登入的阿裡雲伺服器獲得記錄的通,因為重複關掉重新連接配接了很多次,貌似确實能夠記錄了,每次的登入伺服器的ssh名字,登入的時間和對應的終端的ip。
那接下來簡單的介紹下ttyX ,和ptsX的意思了:
tty[1-6]就是你用ctr+alt+f[1-6]所看到的那個終端; 即虛拟控制台。另外tty7是表示圖形界面,就是我們目前登入的是GNOME,當然就是圖形界面了,而伺服器上就隻有指令行界面了。
(另外 :tty1-tty6表示文字界面,可以用Ctrl+Alt+F1-F6切換,+F7就是切換回圖形界面。)
下面兩行說明我目前打開了兩個終端視窗,是以就有pts/0和pts/1其他的是外部終端和網絡終端。
pts/*為僞(虛拟)終端, 其中pts/0,1,2...在桌面Linux中是标準輸入,标準輸出,标準出錯。
另外我們也能簡單的看一下這個賬号登入幹了些什麼?
root賬戶下輸入su - username
切換到username下輸入
history
能看到這個使用者曆史指令,預設最近的1000條