Posts Tagged ‘ SSH

如何解决 SSH Server 使用了不安全的加密算法: ARCFOUR、CBC、HMAC-MD5、HMAC-RIPEMD160

弱点扫瞄

弱点 1: SSH Supports Weak Cipher

The SSH server is configured to support either Arcfour or Cipher Block Chaining (CBC) mode cipher algorithms. SSH can be configured to use Counter (CTR) mode encryption instead of CBC. The use of Arcfour algorithms should be disabled.

  • Severity: Medium
  • Risk: A weak cipher has been detected.
  • Recommendation: Configure the SSH server to disable Arcfour and CBC ciphers.

弱点 2: SSH Supports Weak MAC

The SSH server is configured to support MD5 algorithm. The cryptographic strength depends upon the size of the key and algorithm that is used. A Modern MAC algorithms such as SHA1 or SHA2 should be used instead.

  • Severity: Medium
  • Risk: A weak Message Authentication Code (MAC) algorithm has been detected.
  • Recommendation: Configure the SSH server to disable the use of MD5.

Read more

iptables 封锁的指令与简单的封锁程式

安装了一台新的 Linux Server,有个来自中国的 IP“218.25.253.100”连续好几天一直在尝试以 ssh 登入我的 Server,虽然我也装了 fail2ban,不过只设三个小时的封锁时间,所以每天会看到 fail2ban 告诉我这个 IP 被封锁了 n 次!!看了很烦,所以直接用 iptables 把它给封锁了。
Read more

用 Fail2Ban 防范暴力破解 (SSH、vsftp、dovecot、sendmail)

Fail2Ban 可以用来防护 Linux Server 上的 SSH、vsftp、dovecot...等服务免于遭骇客使用暴力密码入侵。我以前曾写过即时封锁想要入侵 SSH 的程式,不过 Fail2Ban 厉害多了,也完全可以取代我写的程式。

安装 Fail2Ban

安装前可以先用下列指令来查看可安装的版本:

yum info fail2ban

像我的系统 (CentOS 5.x) 查出来有两个版本: 0.8.14 与 0.6.0,来自不同的套件库,但默认却安装 0.6.0,所以我必须要指定安装的版本为 0.8.14,以下的说明也是针对 0.8.*

安装 Fail2Ban:

yum install fail2ban

yum install fail2ban-版本

启动 Fail2Ban:

service fail2ban start
chkconfig fail2ban on

Read more

增加 ssh 的安全性设定

编辑 /etc/ssh/sshd_config,加入或修改下列参数:

#禁止 root 以 SSH 登入
PermitRootLogin no

#仅允许特定群组登入
AllowGroups group1 group2

#仅允许特定帐号登入
#(注意,AllowUsers 会覆写 AllowGroups,若你有群组登入的需求,就不能设 AllowUsers)
AllowUsers user1 user2

#禁止使用空白密码登入
PermitEmptyPasswords no

#限定只能使用 SSH2 协定
Protocol 2

#限定最多可以同时连线的数目
MaxStartups 5

在 Windows 使用“非对称金钥”来远端登入 SSH 的方法

在 Linux Server 下使用 SSH 的“非对称金钥”来进行远端登入的方式相信大家应该都不陌生 (没实做过的可参考鸟哥或 study-area 的文件),下面我所要介绍的是在 Windows 下使用金钥来远端登入 SSH 的方法。

开始之前,先说一下“非对称金钥”:

“非对称金钥”是一种加密机制,由用户端以特定的加密算法产生两把“非对称”金钥: 即“公钥 (Public-Key)”与“私钥 (Private-Key)”。然后我们会把“私钥”留在自己的电脑,再把“公钥”传送到远端主机,当两把金钥碰在一起就会进行加解密比对,以确认是否彼此的身份是可以信任的,藉以执行特定的作业。

说得更简单一点,与其说是“公钥”与“私钥”,不如说是“锁头”与“钥匙”,由我自己来打造一组锁头及钥匙,我把这个锁头装在一个门上,然后我就可以用我的这一把钥匙来打开这扇门了! 同时呢,我也可以把相同的锁头装在很多的门上,那我就可以用这一把钥匙来开启很多门了…这样子的概念是否有比较清楚了呢?!

Read more

如何即时封锁想要用“暴力密码”破解 SSH 的入侵者

本程式无法处理 IPv6 的问题,请改用功能更强大、更完整的 Fail2Ban,请参考本站文章:


粉久之前写了一支 Log 分析的程式,可以统计、分析前一天系统的 Log,在这一份报表里面,总是会看到有一些人使用“暴力法”,尝试以各种帐号、密码,借由 SSH 或 FTP 入侵服务器! 而我只能看着“前一天”的报表,分析他们用过哪些帐号、统计他们尝试了几次…实在有点不是滋味
Read more

PieTTY 0.3.5 - 实用的 Telnet/SSH 终端机连线程式

档案下载

平常我都是用 SecureNetTerm,今天试用 PieTTY,发现这也是一支好用的 Telnet/SSH 终端机连线程式。PieTTY 修改自 Putty 0.57,对“亚洲语系”的相容性更高,用起来更方便、顺手。

PieTTY 的特点

  • 半透明显示方式增为三种绘制方式以配合各种硬件。
  • 内建 Big5-2003+中国海字集,免装“Unicode 补完”!
  • 内建简易中文简繁转换(使用 autrijus 的表格) 。
  • 使用界面大幅加强:无框视窗模式、记住最后视窗位置…
  • 全新的视觉效果:视窗阴影!
  • 可设为系统 telnet:// 处理程式
  • 加强显示非系统默认的语系,如在英文版Windows上设英文字型并同时显示中文与韩文。
  • 加强剪贴方式方便性,BBS 与 IRC 互贴彩色不是梦!
  • 彻底解决之前各版点选网址的相关问题。

PieTTY 的缺点

  • 没有站台管理。

[Perl]格式化系统 LOG 分析 *

本文件是参考鸟哥写的 logfile.sh,我把它改成符合我自己系统的 LOG 分析程式,全面以 Perl 重写。我自己用了一段时间 (其实也半年了),觉得勉强还可以用,所以公开给大家用看看…
Read more

return top