SFTP配置时如何防止暴力破解
SFTP防暴力破解的实用配置清单 一 基础加固 这部分的配置,可以说是整个防御体系的基石。做好了,能直接挡掉绝大部分自动化脚本的骚扰。 禁用密码登录、仅用密钥:这是最关键的一步。操作路径在 etc ssh sshd_config 里,把 PasswordAuthentication 设为 no,同
SFTP防暴力破解的实用配置清单

一 基础加固
这部分的配置,可以说是整个防御体系的基石。做好了,能直接挡掉绝大部分自动化脚本的骚扰。
- 禁用密码登录、仅用密钥:这是最关键的一步。操作路径在
/etc/ssh/sshd_config里,把PasswordAuthentication设为no,同时确保PubkeyAuthentication是yes。客户端那边,用ssh-keygen -t rsa -b 4096这类命令生成密钥对,然后把公钥内容塞进服务器的~/.ssh/authorized_keys文件。别忘了,权限设置是门学问,.ssh目录权限得是 700,authorized_keys文件得是 600,这一步错了,前面可能都白搭。 - 禁止 root 直登:没什么好商量的,
PermitRootLogin直接改成no。先让攻击者猜不到用户名,这门槛就高了不少。 - 可选降低噪声:把默认的 22 端口改成比如 2222。这招的效果嘛,好比把自家门牌号从热闹的大街挪到小巷里,并不能让门锁变得更结实,但能显著减少被“路过”的自动化扫描工具碰上的概率。记住,这只是辅助,不能替代认证加固。
- 重启生效:改完配置,
systemctl restart sshd一下。上面这几板斧下去,尤其是“禁用密码+仅密钥”这个组合拳,对于SFTP这种特定场景,被暴力猜解的风险已经能降到一个很低的水平了。
二 自动封禁与速率限制
基础加固是修高墙,那这部分就是部署巡逻队和设置关卡流量控制,形成纵深防御。
- 使用 Fail2Ban 监控 SSH 登录失败并封 IP:
- 安装:
yum install fail2ban -y或者apt-get install fail2ban,看你的系统口味。 - 配置(示例):核心是创建
/etc/fail2ban/jail.local文件。里面大致这么写:[DEFAULT] bantime = 600 findtime = 600 maxretry = 3 [sshd] enabled = true port = ssh filter = sshd logpath = /var/log/secure # CentOS/RHEL 用这个 # logpath = /var/log/auth.log # Debian/Ubuntu 用这个 maxretry = 3 bantime = 600
意思很直白:10分钟(600秒)内,同一个IP失败3次,就关它10分钟“禁闭”。 - 启动:
systemctl start fail2ban && systemctl enable fail2ban。想看看“巡逻队”工作状态?fail2ban-client status sshd命令给你答案。
- 安装:
- 用防火墙做连接速率限制(iptables 示例):
- 规则:这两条 iptables 规则值得记一下:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
它们实现的效果是:60秒内,如果同一个IP对22端口的新连接请求超过4个,后续的请求就直接丢弃。用 firewalld 的话,也可以通过 direct 规则达到相同目的。
- 规则:这两条 iptables 规则值得记一下:
看出来了吗?Fail2Ban 是“事后追责”,发现异常再封禁;而防火墙速率限制是“事前预防”,直接从流量上掐断高频试探。两者一结合,防御的层次感和反应速度就都有了。
三 登录失败锁定与账户策略
如果说前面是防外人,那这里就是管好自家“钥匙”,并且给每把钥匙加上试错自锁功能。
- PAM 失败计数与解锁:
- 使用 pam_tally2(RHEL/CentOS 常用):在
/etc/pam.d/sshd文件顶部加入:auth required pam_tally2.so onerr=fail deny=3 unlock_time=600
意思是:失败3次就锁定账户,600秒后自动解锁。如果需要手动给某个用户解锁,执行faillog -u <用户名> -r就行。 - 使用 pam_faillock(更现代,部分新发行版默认):同样在
/etc/pam.d/sshd顶部加入:auth required pam_faillock.so preauth silent deny=3 unlock_time=600
然后在文件底部加上:account required pam_faillock.so
- 使用 pam_tally2(RHEL/CentOS 常用):在
- 强密码策略:即使我们主要用密钥,但系统其他账户或备用方案仍需强密码。在
/etc/pam.d/system-auth和/etc/pam.d/password-auth中,通过 pam_pwquality 或 pam_cracklib 模块配置,强制要求密码长度、包含字符种类,并避免使用历史密码。
PAM模块的锁定是应用层面的即时反应,速度非常快。它和网络层的Fail2Ban配合,一个管“用户账户”,一个管“来源IP”,能覆盖从短时爆破到长时间慢速试探的各种攻击窗口。
四 系统与服务最小化
安全领域有句老话:最安全的服务是根本不运行的服务。所以,我们要收窄攻击面。
- 仅启用 SFTP 子系统:在
/etc/ssh/sshd_config中,确保类似这样的配置是启用的:Subsystem sftp /usr/libexec/openssh/sftp-server
(注意,具体路径可能因发行版而异)。这样,SSH服务就只提供SFTP功能,关掉其他不必要的子系统。 - 保持系统与 OpenSSH 更新:这点听起来像是老生常谈,但至关重要。及时打上安全补丁,才能堵住那些已知的漏洞。最小化攻击面是“静态加固”,及时更新则是“动态维护”,两者结合才是长治久安的基础。
五 快速验证与运维建议
配置完了,怎么知道它真的在起作用?日常运维又该注意什么?
- 验证与观测:
- 查看 Fail2Ban 状态:
fail2ban-client status sshd。想实时看谁被关了“禁闭”?tail -f /var/log/fail2ban.log是个好选择。 - 本地验证登录失败计数:用
faillog -u <用户名>命令(如果用的是pam_tally2)。
- 查看 Fail2Ban 状态:
- 运维要点:
- 变更前先备份:动
/etc/ssh/sshd_config、/etc/fail2ban/jail.local这些关键文件前,先复制一份。改完后,逐步重启服务并检查现有会话是否正常。 - 善用云平台能力:如果服务器在云上,别忘了云厂商提供的安全组或防火墙规则。可以在那里叠加一层来源IP白名单和速率限制策略,与主机层面的防护形成互补的多层防护。
- 变更前先备份:动
说到底,安全不是一劳永逸的配置,而是一个持续的过程。通过上面这些状态检查和日志审计手段,你才能快速确认策略是否生效,并在第一时间发现那些不请自来的“客人”。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
Debian下Golang跨平台开发方法指南
在Debian系统上,通过Go原生交叉编译、标准库跨平台抽象及合理代码设计,实现“一次编写,多平台运行”。方法包括环境配置、平台差异处理、交叉编译、依赖管理与多平台测试,最终生成稳定静态可执行文件。
Express服务器JSON请求体正确解析完整实践指南
Express应用中发现`req body`显示为`[Object]`,并非JSON解析失败,而是`console log()`默认对象缩略行为所致。使用`JSON stringify()`或`util inspect()`可完整查看数据结构。正确配置`express json()`中间件并设置请求头,即可确保解析成功。生产环境应避免直接输出敏感数据,建议限
Java泛型构造惯用模式:工厂模式替代反射与冗余参数
Java接口无法声明构造方法,初始化泛型子类型时应使用工厂接口或Supplier函数式接口,避免反射与自引用泛型。工厂模式实现编译期安全、零反射开销、IDE友好,按需选用Supplier或专用工厂接口。
Debian系统Golang并发编程入门教程
在Debian系统通过包管理器安装Golang,介绍并发编程:Goroutines是轻量级线程,用go关键字启动;Channels用于同步通信,两者结合实现高并发服务。
Debian下Golang机器学习库推荐与使用指南
在Debian系统配置Golang环境后,可选用Gorgonia、Gonum和GoLearn等机器学习库。以Gorgonia为例,通过计算图定义线性回归模型,利用梯度下降优化均方误差,训练后即可预测新数据。
- 热门数据榜
相关攻略
2026-07-09 06:54
2026-07-09 06:54
2026-07-09 06:54
2026-07-09 06:54
2026-07-09 06:54
2026-07-09 06:53
2026-07-09 06:53
2026-07-09 06:53
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

