從一起Linux雲主機無法遠端ssh登入故障說起

前幾天下午，一位 電信客戶經理接到客戶報障，說自己的天翼雲Linux雲主機無法 SSH 遠端登入，上午還用得挺好，怎麼下午就不能登入了呢？

客戶經理找到了我，讓我幫助看一下。我讓客戶提供賬號密碼後一試，沒問題啊，可以登入，說明問題不大，不應該是雲主機端的問題。

那使用者卻說他們怎麼也登不了，換 SSH 客戶端也不行，附報錯截圖如下：

 

看這截圖，從我的經驗看像是客戶的公網 IP 被 Linux TCP Wrapper 拉到SSH黑名單了啊。於是讓使用者提供他的公網 IP 地址，然後在雲主機去檢查是怎麼回事。一看，果然客戶的公網 IP 被雲主機拉到黑名單了，公網 IP 正躺在  /etc/hosts.deny   配置檔案裡呢。

  再檢查  /var/log/secure  日誌及  /var/log/denyhosts  日誌，確認是由於使用者輸入密碼錯誤次數過多，被雲主機上預設安裝的  denyhosts  密碼破解防禦軟體攔截，被自動拉進了黑名單。

首先看 /var/log/secure 檔案，裡面有大量的密碼猜測攻擊，也包含使用者那幾次密碼輸入錯誤。

 

 

再看  /var/log/denyhosts  日誌，在當天 14 點 17 分，因密碼錯誤次數過多，客戶 IP 地址 111.8.57.60 被加入黑名單

 

       再看  /etc/hosts.deny  配置，客戶的公網 IP連同其它幾個壞蛋IP 正躺在黑名單裡。

 

      denyhosts 服務就是天翼云為保護Linux雲主機、防止惡意暴力破解雲主機密碼而預設啟用的安全策略。預設的策略為允許密碼輸入錯誤 10 次，當第 11 次失敗就會觸發安全策略，訪問者的公網 IP 地址會被自動加入到雲主機的 IP 地址黑名單中。 IP 地址進入黑名單 5 小時後會自動解封。剛好這個使用者由於密碼輸入多次錯誤，被雲主機誤傷。

       如果是誤操作導致公網 IP 進入黑名單，除了等5小時後自動解封，還有什麼其它辦法呢？

       需要登入到天翼雲控制檯，通過控制檯的“遠端登入 ” 功能 進入雲主機作業系統控制檯，輸入使用者名稱密碼後進入shell。

以下為centos6為例講解解封過程：

1、首先執行命令service denyhosts stop 停止 denyhosts 服務

2、使用vi或其它文字編輯修改以下配置檔案， 把包含被封禁的 IP 地址那行刪掉

/etc/hosts.deny

/usr/share/denyhosts/data/hosts

/usr/share/denyhosts/data/hosts-restricted

/usr/share/denyhosts/data/hosts-root

/usr/share/denyhosts/data/hosts-valid

/usr/share/denyhosts/data/user-hosts

3、最後執行命令 service denyhosts start 重新起動denyhosts服務，讓denyhosts服務繼續為我們服務。

雲主機暴露在公網上後，時時刻刻都有壞蛋在對雲主機進行密碼暴力破解、漏洞掃描等非法侵入。天翼云云主機預設安裝denyhosts服務，成功把攻擊攔在門外，保護雲主機安全。

 

同時也建議廣大天翼雲使用者，雲主機密碼一定要滿足一定的複雜度，並定期更換密碼。如果同時把SSH預設的22埠修改為其它埠，甚至禁止使用密碼登入只允許使用金鑰登入，那麼雲主機的安全才更有保障。