从一起 Linux 云主机无法远程 ssh 登录故障说起

前几天下午，一位电信客户经理接到客户报障，说自己的天翼云 Linux 云主机无法 SSH 远程登录，上午还用得挺好，怎么下午就不能登录了呢？

客户经理找到了我，让我帮助看一下。我让客户提供账号密码后一试，没问题啊，可以登录，说明问题不大，不应该是云主机端的问题。

那用户却说他们怎么也登不了，换 SSH 客户端也不行，附报错截图如下：

看这截图，从我的经验看像是客户的公网 IP 被 Linux TCP Wrapper 拉到 SSH 黑名单了啊。于是让用户提供他的公网 IP 地址，然后在云主机去检查是怎么回事。一看，果然客户的公网 IP 被云主机拉到黑名单了，公网 IP 正躺在 /etc/hosts.deny 配置文件里呢。

  再检查 /var/log/secure 日志及 /var/log/denyhosts 日志，确认是由于用户输入密码错误次数过多，被云主机上默认安装的 denyhosts 密码破解防御软件拦截，被自动拉进了黑名单。

首先看/var/log/secure 文件，里面有大量的密码猜测攻击，也包含用户那几次密码输入错误。

再看 /var/log/denyhosts 日志，在当天 14 点 17 分，因密码错误次数过多，客户 IP 地址 111.8.57.60 被加入黑名单

再看 /etc/hosts.deny 配置，客户的公网 IP 连同其它几个坏蛋 IP 正躺在黑名单里。

denyhosts 服务就是天翼云为保护 Linux 云主机、防止恶意暴力破解云主机密码而默认启用的安全策略。默认的策略为允许密码输入错误 10 次，当第 11 次失败就会触发安全策略，访问者的公网 IP 地址会被自动加入到云主机的 IP 地址黑名单中。IP 地址进入黑名单 5 小时后会自动解封。刚好这个用户由于密码输入多次错误，被云主机误伤。

  如果是误操作导致公网 IP 进入黑名单，除了等 5 小时后自动解封，还有什么其它办法呢？

  需要登录到天翼云控制台，通过控制台的“远程登录” 功能进入云主机操作系统控制台，输入用户名密码后进入 shell。

以下为 centos6 为例讲解解封过程：

1、首先执行命令 service denyhosts stop 停止 denyhosts 服务

2、使用 vi 或其它文本编辑修改以下配置文件，把包含被封禁的 IP 地址那行删掉

/etc/hosts.deny

/usr/share/denyhosts/data/hosts

/usr/share/denyhosts/data/hosts-restricted

/usr/share/denyhosts/data/hosts-root

/usr/share/denyhosts/data/hosts-valid

/usr/share/denyhosts/data/user-hosts

3、最后执行命令 service denyhosts start 重新起动 denyhosts 服务，让 denyhosts 服务继续为我们服务。

云主机暴露在公网上后，时时刻刻都有坏蛋在对云主机进行密码暴力破解、漏洞扫描等非法侵入。天翼云云主机默认安装 denyhosts 服务，成功把暴力破解密码攻击拦在门外，保护云主机安全。

同时也建议广大天翼云用户，云主机密码一定要满足一定的复杂度，并定期更换密码。如果同时把 SSH 默认的 22 端口修改为其它端口，甚至禁止使用密码登录只允许使用密钥登录，那么云主机的安全才更有保障。