一种自动防御sshd攻击的方法【专利摘要】本发明提供一种自动防御SSHD攻击的方法,首先针对sshd攻击,部署swatch监控软件及应对策略;当外界IP地址登录linux应用服务器或集群系统时;swatch监控程序会根据记录在/var/log/secure日志文件中记录失败的访问信息及IP地址进行数据分析,进而判断该sshd访问是否正常:本发明的一种自动防御SSHD攻击的方法和现有技术相比,能够有效防御通过sshd进行网络攻击和密码暴力破解的潜在风险,而且本发明还具有设计合理、结构简单、使用方便等特点,因而,具有很好的使用价值。【专利说明】一种自动防御SSHD攻击的方法【
技术领域:
】[0001]本发明涉及计算机【
技术领域:
】,具体地说是一种自动防御SSHD攻击的方法。【
背景技术:
】[0002]在目前的linux应用环境中,通过sshd进行网络攻击和密码暴力破解是当前很多linux应用系统面临的一个潜在风险;轻则导致系统宕机,重则会导致数据泄露或系统瘫痪。【
发明内容】[0003]本发明的目的是克服现有技术中存在的不足,提供一种自动防御SSHD攻击的方法。[0004]本发明的技术方案是按以下方式实现的,方法如下:1)针对sshd攻击,部署swatch监控软件及应对策略;2)当外界IP地址登录linux应用服务器或集群系统时;3)swatch监控程序会根据记录在/var/log/secure日志文件中记录失败的访问信息及IP地址进行数据分析,进而判断该sshd访问是否正常:a)正常情况下是在输入操作系统的用户名和密码后正常访问该系统;b)异常情况下当出现sshd非法攻击时,会出现频繁的尝试破解密码;4)如果该访问正常,系统则运行用户登录并访问linux系统;5)如果该访问异常,贝U首先会sshd_blocked_ip_list文件中记录该IP信息;6)针对该异常IP地址,将使用iptables安全策略限制该ip地址访问linux服务器的22端口,并在一小时后再度打开该限制策略;7)Linux系统管理员将可以根据异常访问记录及限制队列信息,对IP地址进行永久限制访问等安全策略。[0005]本发明的优点是:本发明的一种自动防御SSHD攻击的方法和现有技术相比,能够有效防御通过sshd进行网络攻击和密码暴力破解的潜在风险,而且本发明还具有设计合理、结构简单、使用方便等特点,因而,具有很好的使用价值。【专利附图】【附图说明】[0006]图1为一种自动防御SSHD攻击的方法的结构示意图。【具体实施方式】[0007]下面结合附图对本发明的一种自动防御SSHD攻击的方法作以下详细说明。[0008]如图1所示,本发明的一种自动防御SSHD攻击的方法,方法如下:1)针对sshd攻击,部署swatch监控软件及应对策略;2)当外界IP地址登录linux应用服务器或集群系统时;3)swatch监控程序会根据记录在/var/log/secure日志文件中记录失败的访问信息及IP地址进行数据分析,进而判断该sshd访问是否正常:a)正常情况下是在输入操作系统的用户名和密码后正常访问该系统;b)异常情况下当出现sshd非法攻击时,会出现频繁的尝试破解密码;4)如果该访问正常,系统则运行用户登录并访问linux系统;5)如果该访问异常,贝U首先会sshd_blocked_ip_list文件中记录该IP信息;6)针对该异常IP地址,将使用iptables安全策略限制该ip地址访问linux服务器的22端口,并在一小时后再度打开该限制策略;7)Linux系统管理员将可以根据异常访问记录及限制队列信息,对IP地址进行永久限制访问等安全策略。[0009]改进过程:针对以上问题,采用了自动防御sshd攻击的方法,基解决了集群系统的安全问题,保证了集群系统的数据安全性和高性能计算的连续性。[0010]为解决客户问题,针对现有linux集群进行如下部署。[0011]a)安装swatch监控软件,针对sshd服务的日志文件为/var/log/secure进行监控;b)创建swatch配置文件,针对ssh远程频繁登录linux系统且密码不正确的访问IP进行记录,并执行处理脚本;#badloginattemptswatchfor/sshd.+Failedpasswordfor.+from([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)/echomagentabell1exec〃/root/swatch.sh$1〃c)创建攻击检测到后的处理脚本,针对记录的IP信息,釆用iptables安全策略,在一小时内限制该用户登录22端口,一小时后再次解禁;#!/bin/shIP=$1echo$IP>>/root/sshd—blocked—ip_list/sbin/iptables-1INPUT_s"$IP〃-ptcp—dport22-jDROP/usr/bin/at〃now+1hours〃<<<sbin/iptables_DINPUT_s$IP-ptcp—dport22-jDROP"d)运行swatch,对/var/log/secure的日志事件进行监控;#/usr/bin/swatch_t/var/log/secure-daemone)经过监控记录显示,一个来自于西欧的IP地址频繁的攻击破解集群的登录节点;使用iptables防火墙策略永久限制该IP的访问。[0012]本发明的一种自动防御SSHD攻击的方法其加工制作非常简单方便,按照说明书附图所示即可加工。[0013]除说明书所述的技术特征外,均为本专业技术人员的已知技术。【权利要求】1.一种自动防御SSHD攻击的方法,其特征在于方法如下:1)针对sshd攻击,部署swatch监控软件及应对策略;2)当外界IP地址登录Iinux应用服务器或集群系统时;3)swatch监控程序会根据记录在/var/log/secure日志文件中记录失败的访问信息及IP地址进行数据分析,进而判断该sshd访问是否正常:a)正常情况下是在输入操作系统的用户名和密码后正常访问该系统;b)异常情况下当出现sshd非法攻击时,会出现频繁的尝试破解密码;4)如果该访问正常,系统则运行用户登录并访问Iinux系统;5)如果该访问异常,贝U首先会sshd_blocked_ip_list文件中记录该IP信息;6)针对该异常IP地址,将使用iptables安全策略限制该ip地址访问Iinux服务器的22端口,并在一小时后再度打开该限制策略;7)Linux系统管理员将可以根据异常访问记录及限制队列信息,对IP地址进行永久限制访问等安全策略。【文档编号】H04L29/06GK104394159SQ201410717162【公开日】2015年3月4日申请日期:2014年12月3日优先权日:2014年12月3日【发明者】陈良华申请人:浪潮集团有限公司