暴力 ssh 登录攻击拖慢了我的服务器。我已经阻止了除我的内部网络之外的外部 ip 的 ssh(iptables -A INPUT -p tcp --dport 22 -j DROP),但负载已上升到 20。我该怎么办。
答案1
您尚未证明对 sshd 的攻击是导致问题的原因。如果您已正确阻止端口 22,则这种情况不应该发生。
但是,如果(看起来)你不需要通过 ssh 从更广泛的互联网进行连接,你可以简单地停止 sshd 监听外部地址。编辑 sshd_config 并更改 Listen 指令
ListenAddress <internal ip address>
然后重新启动 sshd。
如果您的负载仍然很高,那么您的问题就出在其他地方。
答案2
您的问题缺乏细节,因此任何答案都可能涉及一些猜测。不过,我过去也见过类似的症状,并能够解决它们。
为了解决我管理的服务器上的问题,我采取的措施是使用以下行完全禁用密码验证/etc/ssh/sshd_config:
PasswordAuthentication no
在进行此更改之前,您当然必须确保合法登录已使用公钥身份验证,否则该行将锁定一些合法用户。公钥身份验证比密码身份验证更安全的原因有多种,如果配置正确,它也将为用户带来更多便利。
一旦禁用密码验证,攻击者尝试猜测密码所花费的资源量就会大幅下降。我仍然看到大量的连接尝试,但从未出现任何重大的资源消耗。
我发现另一行有用的内容/etc/ssh/sshd_config是:
UseDNS no
禁用 DNS 查找sshd可防止服务器使用的递归器或保存客户端信息的权威服务器出现 DNS 问题时连接停滞。它还会删除日志POSSIBLE BREAK-IN ATTEMPT文件中的消息,这些消息令人困惑,却没有帮助,因为它们是由启发式方法生成的,无法准确识别实际的中断尝试。