服务器如何防止暴力破解

阿里云安全中心具备防暴力破解能力,可以有效对暴力破解行为进行阻断,并将暴力破解行为进行记录。暴力破解记录触发的条件如下:Linux:

说明

时间周期(分钟)

N              

封堵时间(分钟)                

相同IP下同一用户名登录N次

30 

60 

相同IP下N个不存在的用户名登录

10 

60 

指定时间内重试达到指定N次

10 

50  

60

Windows:

说明

时间周期(分钟)

N

封堵时间(分钟)                

相同IP下同一用户名登录N次 

1  

20                

1                

相同IP下N个不存在的用户名登录

20                

1                

指定时间内重试达到指定N次

10 

30                

1      

说明:Linux支持sshd、vsftpd暴力破解攻击检测,centos 8操作系统暴力破解不支持自动封停、手动封停,详见下面的封停说明;Windows支持ssh、rdp、winrm暴力破解攻击检测。

Agent通过监控/var/log/vsftpd.log文件获取vsftpd的登录信息,故需要先确认登录日志是否写入了/var/log/vsftpd.log文件。配置对vsftpd登录日志进行监控:
 
    1、找到未正常登录日志监控的主机。打开vsftpd配置文件,默认状态下,它的位置是/etc/vsftpd.conf或/etc/vsftpd/vsftpd.conf。
 
    2、您可以使用如下两种方法配置日志监控:
 
方法1:将dual_log_enable字段设置为YES,并在vsftpd_log_file字段中设置登录日志路径,注意大小写;
 
方法2:将xferlog_enable字段设置为YES,xferlog_std_format字段设置为NO,注意大小写;
 
    3、如需启用封停,请将tcp_wrappers设置为YES。
 
    4、重启vsftpd服务,service vsftpd restart。
 
    5、设置完毕后,您可点击重新检测,验证是否能够正常监控登录日志。

封停说明
 
centos 8 操作系统默认不支持tcp_wrapper,异常登录、暴力破解不支持自动封停、手动封停功能。建议替代方案:在/etc/ssh/sshd_config配置文件中设置DenyUsers、AllowUsers选项。
 
如允许特定用户登录(白名单):
 
在/etc/ssh/sshd_config配置文件设置AllowUsers,格式如下:
Allow cmcc1@192.168.10.1
 
#允许从192.168.10.1登录的cmcc1 账号通过 SSH 登录系统。
 
配置完成需要重启 SSHD 服务:
service sshd restart
 
如拒绝特定用户登录(黑名单):
 
在/etc/ssh/sshd_config配置文件设置DenyUsers,格式如下:
DenyUsers testcmcc
 
# 拒绝 testcmcc 账户通过 SSH 登录系统。
 
配置完成需要重启 SSHD 服务:
service sshd restart
 
登录云安全中心控制台,依次点击【安全预防】、【暴力破解】,即可进入暴力破解模块。正常操作步骤如下:
 
Step1:登录暴力破解模块页面,查看暴力破解记录。
 
说明:多次达到暴力破解条件将被自动封停,封停时间每次会进行累加,累加的方式为:当前已达到暴力破解条件的次数×封堵时间;自动封停只针对外网IP,内网不支持自动封停;
 
Step2:根据实际需求,对暴力破解进行封停与解封操作。
 
Step3:为防止误操作而产生暴力破解记录,您可根据实际需要,进行白名单规则设置。点击暴力破解页面右上角【白名单规则设置】,进入白名单规则设置页面,此页面可以对已设置的白名单规则进行筛选查看、编辑、删除等操作。点击【新建白名单规则】,跳转至新建白名单规则设置页面。
 
您可以参考以下表格中的参数说明,设置暴力破解白名单规则。白名单规则建立后,则认为白名单内的登录行为为正常行为,不再进行暴力破解记录,也不会自动封停。

参数                

说明                

攻击来源IP或CIDR                

输入被归为白名单的攻击IP地址或者CIDR网段。                

攻击时间                

选择被归为白名单的攻击时间。                

使用登录账号           

输入被归为白名单的攻击使用账号。                

应用服务器                

选择被暴力破解的IP,即您保护的主机。                

描述                

对此条暴力破解白名单规则描述。