之前因為伺服器裡沒有什麼重要的東西，也就一直沒有關注過登陸日誌，剛才在配置ssh chroot出現錯誤是才去看的auth.log，記得這個檔案就是個登陸日誌，而且我之前偶爾檢視時都很少內容，所以就直接cat查看了，誰知道竟然是滿屏滿屏的，"Failed password for root XXX.XXX.XXX.XXX"，等了將近一分鐘仍然不見底，最後只好Ctrl+c提前結束，然後寫條命令了下，看看究竟有多少個IP在暴利破解我的root：
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

命令很簡單，也就不過多做解釋了，直接看看結果：
4540 86.122.189.166
855 61.1.84.12
576 61.164.145.33
304 184.32.139.224
284 200.195.151.82
222 110.234.129.177
210 200.62.142.142
202 213.152.176.153
202 129.121.32.94
42 122.228.197.134
38 119.161.145.215
30 79.174.68.97
15 82.166.223.235
13 76.28.73.184
1 119.68.246.2

最多的4000多次，還行，估計離解出我的密碼還有段距離，可是為了防範未然，也讓我的auth.log檔案能清淨一些，索性就加些防範措施。
至於預防措施到時多種多樣，我這裡說幾種我剛才嘗試過的，或者嘗試了放棄的
1、修改SSh埠，禁止root登陸

這個比較簡單，只需要修改/etc/ssh/sshd_config檔案就好了
sudo vi /etc/ssh/sshd_config
Port 4484
#這裡就該為你認為別人猜不到的埠號
PermitRootLogin no
#這裡改為no即為禁止root登陸

最後儲存，重啟
sudo /etc/init.d/ssh restart

2、禁用密碼登陸，僅用證書金鑰登陸

在客戶端生成金鑰
ssh-keygen -t rsa

把公鑰拷貝至伺服器
ssh-copy-id -i .ssh/id_rsa.pub server

也可以手動將.shh/id_rsa.pub拷貝至伺服器使用者目錄的.ssh中，記得修改訪問許可權
scp .shh/id_rsa.pub server:~/.ssh

在伺服器中
cd ./.ssh/
mv id_rsa.pub authorized_keys
chmod 400 authorized_keys

最後修改/etc/ssh/sshd_config
RSAAuthentication yes
#RSA認證
PubkeyAuthentication yes
#開啟公鑰驗證
AuthorizedKeysFile    .ssh/authorized_keys
#驗證檔案路徑 
PasswordAuthentication no
#禁止密碼認證
PermitEmptyPasswords no
#禁止空密碼
UsePAM no
#禁用PAM

最後儲存，重啟
sudo /etc/init.d/ssh restart

3、安裝denyhosts

暴露在網路上的主機都是有風險的，其中一種風險就是ssh暴力破解攻擊（ssh brute force attack）。

請先看看你的Linux主機的 /var/log/secure 檔案的內容，如果你發現裡面記錄有無數條用各種甚至在你的系統中都不存在的使用者名稱來嘗試登入你的系統的日誌，那麼你就要當心了，這很有可能是別人在用工具不斷嘗試破解你的登入帳號。

如果你的密碼不夠複雜，那麼很可能你會遭殃。防範的方法有很多種，這裡介紹一種用第三方軟體來實現防禦的方法。

據網上的資源介紹，有下面幾個防禦軟體：

這幾個軟體我沒有全部接觸過，僅用了DenyHosts。下面就說一下DenyHosts的安裝和使用。

到這裡去下載：http://sourceforge.net/projects/denyhosts/files/

下載.tar.gz的安裝包就可以了，安裝很方便。

寫本文的時候，其版本為2.6（DenyHosts-2.6.tar.gz）。

（1）解壓安裝包：

tar zxf DenyHosts-2.6.tar.gz

（2）進入解壓出來的目錄下，然後再安裝：

cd DenyHosts-2.6/

python setup.py install

（會輸出一堆資訊，不用理會它）

（3）為了能開機自動啟動，在系統中做一個名為“denyhosts”的符號連結，然後新增到啟動項中：

ln -s /usr/share/denyhosts/daemon-control-dist /etc/init.d/denyhosts

chkconfig --add denyhosts

（5）到 /usr/share/denyhosts/ 目錄下，將配置檔案denyhosts.cfg-dist複製為一個新的配置檔案——後面會說為什麼要這樣做：

cd /usr/share/denyhosts

cp denyhosts.cfg-dist denyhosts.cfg

（6）修改配置檔案：

vi denyhosts.cfg

配置檔案的內容很長，但是我們沒有必要修改所有的引數，很多都只要使用預設就夠了，但是有一些是必須要改的，部分說明如下：

# ssh日誌檔案，對RedHat來說，就是這個檔案。對其他系統來說，可能不是該檔案，請參考詳細的說明

SECURE_LOG = /var/log/secure

# 描述禁止登入的檔案

HOSTS_DENY = /etc/hosts.deny

# 當DenyHosts以--purge引數呼叫時，比這個引數設定的值久的時間的HOSTS_DENY記錄將被刪除（該引數留空的話，表示從不會清除任何HOSTS_DENY記錄）

PURGE_DENY = 

# 發生block的情況時，需要block的服務名

BLOCK_SERVICE  = sshd

# 最多允許系統中不存在的使用者登入失敗多少次

DENY_THRESHOLD_INVALID = 2

# 最多允許有效使用者登入失敗多少次

DENY_THRESHOLD_VALID = 3

# 最多允許root登入失敗多少次

DENY_THRESHOLD_ROOT = 3

# 是否做域名反解析

HOSTNAME_LOOKUP=NO

# 用來接收報警資訊的郵箱

ADMIN_EMAIL = [email protected]

# smtp伺服器地址，當你需要DenyHosts發郵件給你報警的時候，要設定這個引數

SMTP_HOST = smtp.163.com

# smtp伺服器埠

SMTP_PORT = 25

# 登入郵箱帳戶的使用者名稱

SMTP_USERNAME=usr

# 登入郵箱帳戶的密碼

SMTP_PASSWORD=pas

# 郵件中的發件人資訊

SMTP_FROM = DenyHosts <[email protected]>

# 報警郵件的標題

SMTP_SUBJECT = DenyHosts Report

其他的基本上不用改了。

文章來源：http://www.codelast.com/

（7）啟動服務：

/etc/init.d/denyhosts start

（從輸出的資訊來看，這種啟動方法實際上是呼叫瞭如下的命令：

/usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg

可見，它使用的配置檔案是/usr/share/denyhosts/denyhosts.cfg ，這也是為什麼我們在上面的步驟中要把預設的配置檔案複製為一個新的配置檔案“denyhosts.cfg”的原因了。）

（8）測試：

從另一臺伺服器上，以一個不存在的使用者名稱和密碼來ssh登入部署了的DenyHosts伺服器，如果你在DenyHosts的配置檔案中設定的是錯誤地嘗試一次就被block，那麼你就會發現你這臺登入的客戶端伺服器被block了。並且，在部署了DenyHosts的伺服器上，檢視檔案/etc/hosts.deny 的內容，會發現多了一條記錄，正是遮蔽了登入者的那一條記錄，這就說明生效了。

文章來源：http://www.codelast.com/

備註：

如果一臺伺服器被誤block了，可以在部署DenyHosts的伺服器上，將檔案 /etc/hosts.deny 中相應的條目刪掉，再重啟DenyHosts服務（/etc/init.d/denyhosts restart），就可以解除block了。