共计 1363 个字符,预计需要花费 4 分钟才能阅读完成。
前几天下午,一位电信客户经理接到客户报障,说本人的天翼云 Linux 云主机无奈 SSH 近程登录,上午还用得挺好,怎么下午就不能登录了呢?
客户经理找到了我,让我帮忙看一下。我让客户提供账号密码后一试,没问题啊,能够登录,阐明问题不大,不应该是云主机端的问题。
那用户却说他们怎么也登不了,换 SSH 客户端也不行,附报错截图如下:
看这截图,从我的教训看像是客户的公网 IP 被 Linux TCP Wrapper 拉到 SSH 黑名单了啊。于是让用户提供他的公网 IP 地址,而后在云主机去查看是怎么回事。一看,果然客户的公网 IP 被云主机拉到黑名单了,公网 IP 正躺在 /etc/hosts.deny 配置文件里呢。
再查看 /var/log/secure 日志及 /var/log/denyhosts 日志,确认是因为用户输出明码谬误次数过多,被云主机上默认装置的 denyhosts 明码破解进攻软件拦挡,被主动拉进了黑名单。
首先看 /var/log/secure 文件,外面有大量的明码猜想攻打,也蕴含用户那几次明码输出谬误。
再看 /var/log/denyhosts 日志,在当天 14 点 17 分,因明码谬误次数过多,客户 IP 地址 111.8.57.60 被退出黑名单
再看 /etc/hosts.deny 配置,客户的公网 IP 连同其它几个坏蛋 IP 正躺在黑名单里。
denyhosts 服务就是天翼云为爱护 Linux 云主机、避免歹意暴力破解云主机明码而默认启用的安全策略。默认的策略为容许明码输出谬误 10 次,当第 11 次失败就会触发安全策略,访问者的公网 IP 地址会被主动退出到云主机的 IP 地址黑名单中。IP 地址进入黑名单 5 小时后会主动解封。刚好这个用户因为明码输出屡次谬误,被云主机误伤。
如果是误操作导致公网 IP 进入黑名单,除了等 5 小时后主动解封,还有什么其它方法呢?
须要登录到天翼云控制台,通过控制台的“近程登录”性能进入云主机操作系统控制台,输出用户名明码后进入 shell。
以下为 centos6 为例解说解封过程:
1、首先执行命令 service denyhosts stop 进行 denyhosts 服务
2、应用 vi 或其它文本编辑批改以下配置文件,把蕴含被封禁的 IP 地址那行删掉
/etc/hosts.deny
/usr/share/denyhosts/data/hosts
/usr/share/denyhosts/data/hosts-restricted
/usr/share/denyhosts/data/hosts-root
/usr/share/denyhosts/data/hosts-valid
/usr/share/denyhosts/data/user-hosts
3、最初执行命令 service denyhosts start 重新起动 denyhosts 服务,让 denyhosts 服务持续为咱们服务。
云主机裸露在公网上后,时时刻刻都有坏蛋在对云主机进行明码暴力破解、破绽扫描等非法侵入。天翼云云主机默认装置 denyhosts 服务,胜利把暴力破解明码攻打拦在门外,爱护云主机平安。
同时也倡议宽广天翼云用户,云主机明码肯定要满足肯定的复杂度,并定期更换明码。如果同时把 SSH 默认的 22 端口批改为其它端口,甚至禁止应用明码登录只容许应用密钥登录,那么云主机的平安才更有保障。
