如何预防服务器后台爆破攻击

服务器后台爆破（Brute Force Attack）是一种通过反复尝试用户名和暗码组合，以非法获取体系访问权限的攻击方式。这种攻击不仅会消耗服务器资源，还可能导致合法用户被锁定或敏感数据泄露。为了有效预防服务器后台爆破攻击，本文将介绍一系列实用且易于实行的技能措施，并提供相应的代码示例。
1. 强化身份验证机制

1.1 使用强暗码计谋

设置复杂度高的暗码要求，可以显著增加暴力破解的难度。比方，逼迫要求暗码包含大小写字母、数字和特殊字符，并设定最小长度。

1. # 在Linux系统中，编辑/etc/security/pwquality.conf文件来设置密码策略
2. minlen = 12
3. dcredit = -1
4. ucredit = -1
5. ocredit = -1
6. lcredit = -1

复制代码

1.2 启用多因素认证 (MFA)

多因素认证为登录过程添加了额外的安全层，即使暗码被破解，攻击者也难以得到访问权限。

• Google Authenticator：一个常用的时间同步一次性暗码(TOTP)工具。
  
• U2F安全密钥：使用物理硬件令牌进行身份验证。
  

2. 限定登录尝试次数

2.1 配置失败登录锁定

通过配置防火墙或应用程序级别的规则，限定每个IP地点在肯定时间内的登录尝试次数。一旦超过限定，主动锁定该IP一段时间。

1. # 使用fail2ban防止SSH爆破攻击
2. sudo apt-get install fail2ban
3. sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

复制代码

编辑/etc/fail2ban/jail.local文件，找到并修改以下部分：

1. [sshd]
2. enabled = true
3. port    = ssh
4. logpath = %(sshd_log)s
5. maxretry = 3
6. bantime = 600
7. findtime = 600

复制代码

2.2 实行CAPTCHA验证

对于Web应用，可以在登录页面添加CAPTCHA验证，制止主动化脚本进行爆破攻击。

1. <!-- HTML: 在登录表单中加入CAPTCHA -->
2. <form action="/login" method="POST">
3.     <input type="text" name="username" placeholder="Username">
4.     <input type="password" name="password" placeholder="Password">
5.     <div class="g-recaptcha" data-sitekey="YOUR_SITE_KEY"></div>
6.     <button type="submit">Login</button>
7. </form>
9. <!-- JavaScript: 确保CAPTCHA已验证 -->
10. <script src="https://www.google.com/recaptcha/api.js" async defer></script>

复制代码

3. 监控和日志分析

3.1 实时监控登录活动

部署实时监控工具，如ELK Stack (Elasticsearch, Logstash, Kibana)，收集和分析登录日志，及时发现非常行为。

1. # 安装Elasticsearch
2. wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg
3. echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
4. sudo apt-get update && sudo apt-get install elasticsearch

复制代码

3.2 主动化日志审查

编写脚本定期查抄日志文件，查找可疑的登录尝试模式，并接纳相应措施。

1. import re
2. from datetime import datetime, timedelta
4. def check_login_logs(log_file_path, threshold=5):
5.     suspicious_ips = {}
6.     time_threshold = datetime.now() - timedelta(hours=1)
8.     with open(log_file_path, 'r') as log_file:
9.         for line in log_file:
10.             match = re.search(r'Failed password for (\S+) from (\S+)', line)
11.             if match:
12.                 timestamp_str = line.split()[0] + ' ' + line.split()[1]
13.                 try:
14.                     timestamp = datetime.strptime(timestamp_str, '%Y-%m-%d %H:%M:%S')
15.                     if timestamp > time_threshold:
16.                         ip_address = match.group(2)
17.                         if ip_address not in suspicious_ips:
18.                             suspicious_ips[ip_address] = 0
19.                         suspicious_ips[ip_address] += 1
20.                 except ValueError:
21.                     continue
23.     # 对于超过阈值的IP地址，采取措施（例如记录警告或封锁）
24.     for ip, count in suspicious_ips.items():
25.         if count >= threshold:
26.             print(f"Warning: IP {ip} has attempted to login {count} times in the last hour.")
28. # 调用函数，检查指定的日志文件
29. check_login_logs('/var/log/auth.log', threshold=5)

复制代码

4. 隐藏和服务肴杂

4.1 更改默认端口

更改服务的默认端口，比方将SSH从22端口更改为其他未常用的端口，可以镌汰被扫描到的概率。

1. # 编辑/etc/ssh/sshd_config文件，修改Port行
2. Port 2222
4. # 重启SSH服务以应用更改
5. sudo systemctl restart ssh

复制代码

4.2 使用非标准路径

对于Web应用，避免使用常见的后台管理路径（如/admin），而是接纳随机天生的唯一起径。

1. <?php
2. // PHP: 动态生成管理员入口点
3. $adminPath = '/'.bin2hex(random_bytes(8)); // 生成一个随机的16进制字符串作为路径
4. header('Location: '.$adminPath);
5. exit;
6. ?>

复制代码

5. 教诲和培训

5.1 进步员工安全意识

定期组织安全培训，教诲员工识别钓鱼邮件和其他社会工程学攻击，确保他们相识最佳实践。
5.2 订定应急响应筹划

订定详细的应急响应筹划，明白在发生爆破攻击时应接纳的步骤，包括通知相干方、规复服务等。
结论

预防服务器后台爆破攻击必要综合运用多种技能和管理本领。通过强化身份验证、限定登录尝试、实时监控和日志分析、隐藏服务以及进步员工安全意识，您可以有效地低落被攻击的风险。希望本文提供的方法和代码示例能够帮助您构建更加安全的服务器情况。如果您有任何疑问或必要进一步的帮助，请随时联系我们。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。