OpenWRT拒绝SSH/Luci密码破解攻击

xws***

Openwrt 自身没有对抗ssh破解的工具,为了使我们暴露在互联网的路由器更加安全,


基于iptables编写了一个小脚本, 脚本通过crontab定时执行.

脚本的功能是读取 logread 中 ssh(22端口) 和 luci (443端口) 的失败日志,对于失败次数超过10次的同一个IP,

在Iptables 中增加一条约束规则,并记录日志到 /tmp/DenyPwdHack.log .

操作步骤如下:
下载文件DenyPwdHack.sh , 以root登录，放在 /root/ 目录下,

然后执行 chmod u+x /root/DenyPwdHack.sh



在Openwrt增加以下 crontab 内容:

执行命令: crontab -e
然后贴入以下内容:   0 */3 * * * /root/DenyPwdHack.sh
每三个小时执行一次脚本


脚本地址:  github.com/xwsnet/deny-ssh-password-attack


脚本中的参数：
SSH_PORT=22           ##是SSH的端口，请根据自己的实际情况填写，一般是22端口
Luci_Port=443           ##是Luci的登录端口，请根据自己的实际情况填写，一般是80端口，如果采用https，一般是443端口
LOG_DEST=/tmp/DenyPwdHack.log          ##日志的绝对路径，因为 /tmp文件系统从内存中开辟的，写到该文件系统速度快，对芯片也安全
LOG_KEY_WORD="auth\.info\s+sshd.*Failed password for|luci:\s+failed\s+login"    ## 日志关键字,每个关键字可以用"|"号隔开,支持grep的正则表达式

exclude_ip="192.168.|127.0.0.1"       ## 白名单IP可以用"|"号隔开,支持grep的正则表达式## 失败次数
Failed_times=10        ##登录失败约束IP的阈值





注：OpenWrt 18.06.1 之前的版本Luci登录密码错误不记录日志，脚本无法检测Luci的登录失败次数，只能检测SSH；
OpenWrt 18.06.1 之后的版本SSH和Luci都可以检测。

arbol***

好东西，谢谢分享！

fun***

感谢，这个东西正有用，顺便问下权限有要注意的吗？644?

jj***

取消密码登入，只能用 秘钥文件来登入也可以

xws***

funison 发表于 2019-4-1 20:52
感谢，这个东西正有用，顺便问下权限有要注意的吗？644?

谢谢提醒，忘了，已经修改。

xws***

jjit 发表于 2019-4-1 21:15
取消密码登入，只能用 秘钥文件来登入也可以

虽然可以,但是日志里面会有大量的尝试失败的日志,要是可以忍受,那就可以无所谓惧

laom***

已star～～～

jun***

建议约束IP段~~

如 192.168.10.10 的尝试登录了,就约束 192.168.10.X ...
还要加个赦免白名单,如不小心自己输错几次的话,把自己给封了就不好了.

xws***

junyee 发表于 2019-4-2 07:40
建议约束IP段~~

如 192.168.10.10 的尝试登录了,就约束 192.168.10.X ...

脚本里面有白名单机制，把自己的IP或者IP段填进去即可，exclude_ip="192.168.|127.0.0.1"  表示192.168段和127.0.0.1 的IP 不会被约束。

hc***

公私秘钥登录，简单

xws***

hcyme 发表于 2019-4-2 09:31
公私秘钥登录，简单

可以,但是日志里面会有大量的尝试失败的日志,要是可以忍受,那就可以无所谓惧

bi***

666，不错的

xws***

自己顶一下，希望大家给点改进的建议，持续完善

cmh***

换端口就差不多了

xws***

cmheia 发表于 2019-4-19 20:00
换端口就差不多了

换端口可以大大降低被扫描的概率，但还是避免不了，我自己设置的50022端口就经常被扫描到。