配置nftables禁止尝试爆破ssh的ip连接

zdszf

转自：  https://obvps.com/2021/01/25/nftsshone.html

在购买VPS后首先应该做的就是禁止密码登录，并配置密钥登录保证服务器安全，如此服务器虽然已经十分安全，但是执行lastb或者journalctl | grep -E "password"时候仍然可见很多非法登录请求，我们可以配置nftables禁止尝试爆破ssh的ip连接，不让其继续趴在心爱的VPS为所欲为

以下操作脚本在debian 10 64 上测试：

1. bash <(curl -s https://raw.githubusercontent.com/mixool/across/master/nftables/nft.sh)

复制代码

Tips:
1. 需要nftables版本大于0.9.2，debian 10可从buster-backports安装
2. 每小时超过5次ssh请求的ip就加入黑名单，代码：

1. tcp flags syn tcp dport ssh meter bbbmeter { ip saddr limit rate over 5/hour } add @blackhole { ip saddr } counter drop

复制代码

3. 黑名单默认禁5天，如果此IP期间继续尝试，时间会重置为5天
4. 如果不小心把自己禁止了，需要面板重启服务器
5. 脚本设置了仅允许访问 http https ssh 三个端口
6. nft list ruleset 查看效果
7. 其它参数设置看脚本内容，看不懂脚本就多看看nftables的wiki





等nftables运行一会过后看效果,拉黑了不少ip，还剩下个10分钟来一次的IP：

fatal

f2b已经用习惯了

zxxx

fatal 发表于 2021-1-25 22:21
f2b已经用习惯了

请教 f2b 全名是什么？

laogui

zxxx 发表于 2021-1-25 22:30
请教 f2b 全名是什么？

fail2ban

hcyme

就会一招蜜月登录，感觉还行了

zxxx

laogui 发表于 2021-1-25 22:49
fail2ban

https://github.com/fail2ban/fail2ban

Fail2Ban: ban hosts that cause multiple authentication errors

Fail2Ban是一个入侵检测系统框架，它可以保护电脑服务器免受蛮力攻击。以Python程式设计语言编写，并能够在类Unix系统上运行，这些系统具有本地安装的封包控制系统或防火墙的界面，例如Iptables或TCP Wrapper。

Fail2ban 跟 DenyHosts是类似的工具，可以阻挡有人恶意以字典暴力破解密码，通常应用于有开启 sshd、telnetd跟ftpd的主机上。
Fail2ban 的做法是将超过多次失败连线的 IP 列用 iptables(给IPv4 使用) 或 ip6tables (给IPv6使用)禁止该 IP之后的连线。
至于要多久之后可以再允许该 IP 再次连线可以在 Fail2ban 的设定档案内设定。