场景:
有时候开发者在云平台开发或者组建服务器时,暴露了ip,且并未做防火墙防护(有时候为了开发方便,关闭防火墙)。导致成为黑客的最爱,入侵你的机子当肉机、当矿机。爆破登录。
解决:
查看ip访问情况:
常用命令:
1、查看ip访问历史
last
2、查看尝试登录的ip试错情况
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
3、将异常访问的ip拉入小黑屋
方式一:使用iptables禁止ip
iptables -I INPUT -s {source_ip} -j DROP
方式二:使用hosts.deny和hosts.allow设置ip黑白名单
vim /etc/hosts.deny
sshd:192.168.1.1 #禁ssh单ip
sshd:192.168.1. #禁ssh ip段
in.telnetd:192.168.1.1 #禁telnet单ip
in.telnetd:192.168.1. #禁telnet ip段
同理,如果在hosts.allow里加的话,是允许指定ip访问