使用SSHGuard实现SSH防暴力破解

首先，记得看lastb情况
sshd_config配置：
修改Port
修改PermitRootLogin
修改RSAAuthentication 启用RSA认证（已过时）
修改PubkeyAuthentication 启用公钥认证

AuthorizedKeysFile .ssh/authorized_keys 验证文件路径
ChallengeResponseAuthentication no 禁止CRAM认证
PasswordAuthentication no 禁止密码认证
PermitEmptyPasswords no 禁止空密码
MaxAuthTries 6 最大密码尝试次数，超过断开连接
UsePAM no 禁用PAM
只允许指定用户登录
AllowUsers a b c
按用户组匹配规则

Match Group usergroup
    PasswordAuthentication no
    your rules...

按用户名匹配规则

Match User user1,user2
    PasswordAuthentication yes
    your rules...

Match User user3
    PasswordAuthentication no
    your rules...

按用户名和用户组的匹配规则应当追加在sshd_config所有规则之后，文件末尾

软件控制
安装 sshguard 或 denyhosts 或fail2ban（安装前确保安装了防火墙，且启动）
优点：灵活可控
缺点：IP是可以伪装的，攻击者可以伪装成你的常用IP进行攻击

公钥认证
在客户端进行ssh-keygen -t xxx
将生成的id_xxx.pub传输给服务器，然后将内容导入~/.ssh/authorized_keys
.ssh 目录的权限必须是0700
.ssh/authorized_keys 文件权限必须是0600
优点：（几乎）绝对安全
缺点：很不灵活，每台新主机都需要导入密钥

Denyhosts的一个模板配置文件

$ vi /etc/denyhosts.conf
SECURE_LOG = /var/log/auth.log #ssh 日志文件，它是根据这个文件来判断的。
HOSTS_DENY = /etc/hosts.deny #控制用户登陆的文件
PURGE_DENY = #过多久后清除已经禁止的，空表示永远不解禁
BLOCK_SERVICE = sshd #禁止的服务名，如还要添加其他服务，只需添加逗号跟上相应的服务即可
DENY_THRESHOLD_INVALID = 5 #允许无效用户失败的次数
DENY_THRESHOLD_VALID = 10 #允许普通用户登陆失败的次数
DENY_THRESHOLD_ROOT = 1 #允许root登陆失败的次数
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts #运行目录
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES #是否进行域名反解析
LOCK_FILE = /var/run/denyhosts.pid #程序的进程ID
ADMIN_EMAIL = root@localhost #管理员邮件地址,它会给管理员发邮件
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts <nobody@localhost>
SMTP_SUBJECT = DenyHosts Report
AGE_RESET_VALID=5d #用户的登录失败计数会在多久以后重置为0，(h表示小时，d表示天，m表示月，w表示周，y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
RESET_ON_SUCCESS = yes #如果一个ip登陆成功后，失败的登陆计数是否重置为0
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
DAEMON_SLEEP = 30s #当以后台方式运行时，每读一次日志文件的时间间隔。
DAEMON_PURGE = 1h #当以后台方式运行时，清除机制在 HOSTS_DENY 中终止旧条目的时间间隔,这个会影响PURGE_DENY的间隔。

SSHGUARD

sshguard 是一个持续跟踪一个或多个日志文件的守护进程。它通过分析由失败的登录尝试引发的守护进程的日志活动，通过更新系统的防火墙阻止这些用户进一步的连接尝试。

运行时参数优先级大于配置文件
sshguard [监控文件]
也接受从管道来的输入
参数：
-a 分数阈值，默认30
-b 阈值:黑名单文件
-i pid
-p 阻挡时间
-s 重置间隔
-w IP|文件 白名单
-v 显示版本号，也可以用于检测正确性，若正常返回了版本号说明正常运行
-l (已废弃)从文件而不是标准输入中读取日志

要修改SSHGuard的配置，需要修改/etc/sshguard.conf

sshguard主要选项：
BACKEND：指令指向后端配置文件的完整路径(在/usr/libexec/sshguard/中)。安装时会自动检测所用的防火墙，也可以手动修改。
FILES：设置监控的日志文件，用空格分隔。默认配置有一个/var/log/auth.log。
LOGREADER：分析指定命令输出的日志内容，默认配置有一个journalctl的监控命令。
THRESHOLD：指令在攻击者的攻击分数超过指定值时阻止攻击者。一般每次攻击得10分。
BLOCK_TIME：选项是在连续失败的登录尝试后阻止攻击者的秒数。默认情况下，超额后第一次尝试后为120。这会随着每次连续失败的登录尝试而以1.5倍增加。
DETECTION_TIME：选项是指攻击者在其得分被重置之前被系统记住的时间(以秒为单位)。
WHITELIST_FILE：选项指向包含列入白名单的主机的白名单文件的完整路径。加入白名单的主机不受sshguard检测。
BLACKLIST_FILE:格式为x:/path，x为分数，path为黑名单路径，记入黑名单的用户会被永久禁止连接。

如果希望sshguard和其他日志程序配合工作，需要进行一些配置

以下是一个模板

#### REQUIRED CONFIGURATION ####
# Full path to backend executable (required, no default)
BACKEND="/usr/libexec/xxx"
# Debian系，xxx为sshguard/sshg-fw-nft-sets
# RHEL系，xxx为sshg-fw-firewalld
# Ubuntu系，xxx为sshguard/sshg-fw-iptables（见下方）

# Shell command that provides logs on standard output. (optional, no default)
# Example 1: ssh and sendmail from systemd journal:
LOGREADER="LANG=C journalctl -afb -p info -n1 -t sshd -o cat"
# 你也可以在-t后加入要观察的更多服务
FILES="/var/log/xxx"
# 请先安装rsyslog
# Debian/Ubuntu系，xxx为auth.log
# RHEL系，xxx为secure

#### OPTIONS ####
# Block attackers when their cumulative attack score exceeds THRESHOLD.
# Most attacks have a score of 10. (optional, default 30)
THRESHOLD=30

# Block attackers for initially BLOCK_TIME seconds after exceeding THRESHOLD.
# Subsequent blocks increase by a factor of 1.5. (optional, default 120)
BLOCK_TIME=120

# Remember potential attackers for up to DETECTION_TIME seconds before
# resetting their score. (optional, default 1800)
DETECTION_TIME=1800

# IP addresses listed in the WHITELIST_FILE are considered to be
# friendlies and will never be blocked.
WHITELIST_FILE=/etc/sshguard/whitelist
BLACKLIST_FILE=60:/etc/sshguard/blacklist
# 存储位置为/etc/sshguard/，可以自定义

以下是一个sshguard.service模板

[Unit]
Description=SSHGuard
Documentation=man:sshguard(8)
After=network.target
# 酌情添加syslog.target iptables.service firewalld.service auditd.service
Before=sshd.service

[Service]
PIDFile=/var/run/sshguard.pid
ExecStart=/usr/sbin/sshguard [-i xxx] [-b xxx] [-w xxx] [-p xxx] [-s xxx]

# 这一段在nftables后端需要
# ExecStartPre=-/usr/sbin/nft add table ip sshguard
# ExecStartPre=-/usr/sbin/nft add table ip6 sshguard
# ExecStopPost=-/usr/sbin/nft delete table ip sshguard
# ExecStopPost=-/usr/sbin/nft delete table ip6 sshguard

# 配置停止自动重启
# Restart=always
# RestartSec=10s

[Install]
WantedBy=multi-user.target

SSHGuard 1.6.4-1.7在使用syslog(Ubuntu的默认配置)的情况下，可能会有无限重启的问题。
如果无法忍受，可以换成journalctl的方式，在/usr/lib/sshguard下新建sshguard-journalctl脚本，内容如下。

#!/bin/sh

if [ "$ENABLE_FIREWALL" = "1" ]; then
	/bin/journalctl -afb -p info -n1 -o cat SYSLOG_FACILITY=4 SYSLOG_FACILITY=10 | /usr/sbin/sshguard "$@"
else
	echo "sshguard is not enabled, please check /etc/default/sshguard"
fi

或者使用-l参数，从文件而不是标准输入中获取日志内容（新版本默认使用这种方式）。

监控其他日志

syslog-ng 2.x

在syslog-ng.conf文件中添加以下内容

# pass only entries with auth+authpriv facilities from programs other than sshguard
filter sshlogs { facility(auth, authpriv) and not match("sshguard"); };
# pass to this process with this template (avoids <ID> prefixes)
destination sshguardproc {
program("/usr/local/sbin/sshguard"
template("$DATE $FULLHOST $MESSAGE\n"));
};
log { source(src); filter(sshlogs); destination(sshguardproc); };

syslog-ng 3.x

在syslog-ng.conf文件中添加以下内容

# enable 3.x mode
@version:3.0

# pass only entries with auth+authpriv facilities from programs other than sshguard
filter f_sshguard { facility(auth, authpriv) and not program("sshguard"); };
# pass entries built with this format
destination sshguard {
program("/usr/sbin/sshguard"
template("$DATE $FULLHOST $MSGHDR$MESSAGE\n")
);
};
log { source(src); filter(f_sshguard); destination(sshguard); };

重启syslog-ng和sshguard后，sshguard就可以检测auth和authpriv的日志了

metalog

在metalog.conf中添加以下内容

Stuff to protect from brute force attacks :
    # for ssh
    facility = "*"
    program = "sshd"
    # other services ...
    # log to /var/log/sshguard directory
    logdir = "/var/log/sshguard"

重启metalog后，/var/log/sshguard中随即会出现日志记录。

使用sshguard时，需要提前启动至少一个防火墙后端。
sshguard支持各种防火墙后端，但并不是所有防火墙都支持自动配置。下面逐一列出：

nftables

对于nftables防火墙，sshguard能自动配置其需要的链，集和规则，可以通过以下命令查看
nft list set ip sshguard attackers #查看IP
nft list table ip sshguard #查看表

netfilter/iptables

SSHGuard 2.0以前，iptables初始化通过/usr/lib/sshguard/firewall这个脚本实现
2.0以后，通过ExecStartPre=实现
对于(纯)netfilter/iptables防火墙，需要麻烦一些，
首先需要手动创建sshguard的链：

iptables -N sshguard      # for IPv4

ip6tables -N sshguard     # for IPv6

更新INPUT链来实现将流量转移到sshguard链中。在–dport选项中指定你需要SSHGuard保护的所有服务的端口。你也可以用multiport模块，就像这样：

# 只阻止通过SSH,FTP,POP,IMAP服务的攻击者（使用multiport模块）
iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard

ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard

如果你希望完全阻止攻击者对主机的任何访问，也就是检测所有端口，这样配置：

# 阻止攻击者的任何流量
iptables -A INPUT -j sshguard

ip6tables -A INPUT -j sshguard

下面是一个有效的规则集模板：

iptables -N sshguard

# 阻挡任何SSHGuard认为有问题的IP

iptables -A INPUT -j sshguard

# 开放SSH，DNS，HTTP，HTTPS端口，你也可以用multiports模块

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 修改默认规则，阻止其他任何端口

iptables -P INPUT DROP

重启后，默认会重置防火墙设置。要保存你的防火墙设置，一般是使用iptables-save和iptables-restore命令。也可以搭配持久化服务使用。

ipset

若安装的有ipset，那么被阻挡的攻击者会被加入分别两个叫做sshguard4和sshguard6的IP集中。在没有防火墙的情况下这并不能起到阻挡作用，但是IP集可以被iptables等防火墙作为数据源，这样一来，配置iptables就容易很多了，只需要：

iptables  -I INPUT -m set --match-set sshguard4 src -j DROP

ip6tables -I INPUT -m set --match-set sshguard6 src -j DROP

两条命令即可。

firewalld

被阻挡的攻击者会被自动加入分别两个叫做sshguard4和sshguard6的IP集中。在默认防火墙zone中，这里面的所有IP都默认被阻挡。但是你也可以手动配置其他zone中的行为：

firewall-cmd --zone=zone-name --permanent \
    --add-rich-rule="rule source ipset=sshguard4 drop"

firewall-cmd --zone=zone-name --permanent \
    --add-rich-rule="rule source ipset=sshguard6 drop"

你可以通过以下命令查看IP集中的IP：

firewall-cmd --permanent --info-ipset=sshguard4

firewall-cmd --permanent --info-ipset=sshguard6

UFW

设置使用sshg-fw-iptables后端，修改/etc/ufw/before.rules来实现对sshguard的支持
添加以下内容：

# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

# hand off control for sshd to sshguard
:sshguard - [0:0]
-A ufw-before-input -p tcp --dport 22 -j sshguard

ipfw

SSHGuard会创建“22”表并将攻击者记录在其中。用来实现对攻击者的阻挡。
ipfw add 5000 reset ip from table\(22\) to me
你可以通过以下命令查看表中的内容：
ipfw table 22 list

pf

SSHGuard会将攻击者记录在sshguard表中。在pf.conf中添加以下内容即可正常工作：

table <sshguard> persist

block in proto tcp from <sshguard>

可以通过以下命令查看表中的内容：
pfctl -t sshguard -T show

如何检查sshguard是否正常运行？

输入systemctl status sshguard，正常情况下，SSHGuard会创建一组共同工作的进程的管线。
以下是通过标准配置产生的关联进程：

/bin/sh /opt/sshguard/sbin/sshguard

tail -F -n 0 /tmp/log.txt

/opt/sshguard/libexec/sshg-parser

/opt/sshguard/libexec/sshg-blocker -a 30 -p 120 -s 1800 -N 128 -n 32

/bin/sh /usr/local/libexec/sshg-fw-null

按顺序看：

• SSHGuard，安装在/opt/sshguard，通过/bin/sh解释运行
• SSHGuard执行了tail -F -n 0，以监视/tmp/log.txt
• 默认分析器sshg-parser在运行中
• 阻止工具在运行中，且带有以下参数-a 30 -p 120 -s 1800 -N 128 -n 32
• 防火墙sshg-fw-null运行中，null后端实际上不能阻止任何攻击

如何检查SSHGuard能否识别出攻击？

SSHGuard通过分析日志信息分辨攻击。日志信息的格式偶尔会变。如果你使用的是默认，内置的分析器，你可以通过以下命令验证SSHGuard是否能分辨出攻击：
cat /var/log/auth.log | %PREFIX%/libexec/sshg-parser -a
每行被认为是攻击的日志信息会带有“*”前缀。

手动启动sshguard

sshguard /var/log/auth.log /var/log/maillog -b /blacklist_path