linux 防暴力破解配置

Linux系统防暴力破解配置主要涉及以下几个方面：

基础概念

暴力破解是指攻击者通过尝试大量的用户名和密码组合来获取系统的访问权限。为了防止这种攻击，可以采取一系列安全措施。

相关优势

1. 提高安全性：有效防止未经授权的访问。
2. 减少资源消耗：避免因大量无效登录尝试导致的服务器资源浪费。
3. 保护数据隐私：确保敏感数据不被非法获取。

类型与应用场景

• 登录尝试限制：在一定时间内限制登录失败的次数。
• 账户锁定策略：连续多次失败后锁定账户一段时间。
• 使用验证码：在登录过程中加入验证码验证。
• 双因素认证：结合密码和手机短信验证码或其他令牌。

具体配置方法

1. 使用 pam_tally2 模块进行登录尝试限制

编辑 /etc/pam.d/common-password 文件，添加以下行：

auth required pam_tally2.so onerr=fail deny=3 unlock_time=600

这条配置表示在连续三次登录失败后，账户将被锁定600秒。

2. 配置 fail2ban 进行IP封锁

fail2ban 是一个入侵防御软件框架，可以通过监控日志文件并根据规则自动封锁可疑IP地址。

安装 fail2ban：

sudo apt-get install fail2ban

创建一个新的 jail 配置文件 /etc/fail2ban/jail.local：

[DEFAULT]
bantime = 600
maxretry = 3

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

启动并启用 fail2ban 服务：

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

3. 使用 iptables 限制登录尝试次数

通过 iptables 可以设置防火墙规则来限制特定IP的登录尝试次数。

iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP

这段代码表示在60秒内如果有3次失败的SSH登录尝试，来自同一IP的数据包将被丢弃。

4. 启用双因素认证

可以使用 google-authenticator 或其他双因素认证工具来增强账户安全。 安装 google-authenticator：

sudo apt-get install libpam-google-authenticator

编辑 /etc/pam.d/sshd 文件，添加以下行：

auth required pam_google_authenticator.so

并在用户的 .bashrc 文件中添加：

export GOOGLE_AUTHENTICATOR_ENABLE=yes

常见问题及解决方法

• 账户被误锁：可以通过 passwd -u username 命令解锁账户。
• fail2ban 不工作：检查日志文件 /var/log/fail2ban.log 查看具体错误信息，并根据提示进行调整。
• iptables 规则未生效：使用 iptables -L 查看当前规则，并确保没有其他规则覆盖了你的设置。

通过上述配置，可以有效提高Linux系统的安全性，防止暴力破解攻击。