场景说明

当云服务器位于公网时，并开放了SSH端口，会经常受到SSH暴力破解攻击

通过rsyslog转发云服务器系统日志到GrayLog进行日志分析系统安全日志，结合GeoIP2地址数据库就可以获取SSH暴力破解攻击者IP的地理位置信息

(图片可点击放大查看)

准备条件

1、GrayLog的Marketplace中下载SSH日志Content Pack

https://github.com/xkill/graylog_4.1_ssh

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

2、GeoIP2 Databases

GeoIP的数据库文件

(图片可点击放大查看)

具体实现的操作方法

1、上传GeoIP地址库文件

GeoLite2-City_20211116.tar.gz文件中GeoLite2-City.mmdb上传到GrayLog服务器的/etc/graylog/server目录中

(图片可点击放大查看)

2、启用GeoIP Resolver

system/configurations中最右下方Geo-Location Processor中 启用Geo-Location Processor

(图片可点击放大查看)

并在Message Processors Configuration中将GeoIP Resolver的顺序放在最下面 拖拽即可

(图片可点击放大查看)

(图片可点击放大查看)

3、上传并安装graylog_4.1_ssh-main-content-pack

(图片可点击放大查看)

(图片可点击放大查看)

4、修改Pipeline SSH的extract_ssh_fields

(图片可点击放大查看)

(图片可点击放大查看)

语法为第三行为has_field("message")

rule "extract_ssh_fields"
when
     has_field("message")
then
    let msg = to_string($message.message);
    let msg2 = regex_replace("Invalid user", msg, "Invalid user by invalid user");
    let parsed = grok(pattern: "%{SSH}", value: msg2, only_named_captures: true);
    set_fields(parsed);
    rename_field("ssh_rip","remote_addr");
    rename_field("ssh_username","username");
end

保存并应用

(图片可点击放大查看)

5、模拟公网IP测试SSH登录失败

这里由于我在内网服务器上操作，可以ifconfig ens192:1起虚拟IP进行模拟

(图片可点击放大查看)

6、查看效果

可以在SSH Dashboard的地图中看到效果

(图片可点击放大查看)

(图片可点击放大查看)

当然，日志分析只是一方面，最重要还是要对SSH进行安全加固

1、云控制台配置安全组规则只允许运维主机访问SSH

2、Fail2ban工具实现动态阻断SSH暴力破解攻击

3、使用TCPwrapper进行SSH登录IP黑白名单