/ var / log รายการที่น่าสงสัย

8

เพื่อความสนุกฉันปรับแต่ง/var/log/auth.log(tail auth.log) และมีหลายสิ่งต่อไปนี้:

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

IP ดูเหมือนว่ามาจากประเทศจีน ...

ฉันเพิ่มกฎ iptables เพื่อบล็อก ip และหายไปแล้ว

ตอนนี้เห็นต่อไปนี้:

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

มีทั้งรายการอะไรและฉันจะทำอย่างไรเพื่อป้องกันหรือดูภัยคุกคามแบบไดนามิก
ฉันfail2banติดตั้งแล้ว

ขอบคุณล่วงหน้า

networking ssh security

— user2625721
แหล่งที่มา

คุณต้องการsshพอร์ตที่เปิดในด้านสาธารณะหรือไม่? มีกฎอะไรเพิ่มเข้ามาiptablesบ้าง การได้sshสัมผัสกับด้านสาธารณะจะสร้างความนิยมอย่างมากจากผู้ดมกลิ่นพอร์ตและแคร็กบอทซึ่งอาจเป็นสาเหตุของรายการที่คุณเห็นในขณะนี้

— douggro

เซิร์ฟเวอร์โฮสต์ที่ Linode.com ฉันเปลี่ยนกล่องเพื่อจัดการเปลี่ยนแปลงและทำทุกอย่างดังนั้นฉันจึงต้องใช้ ssh ในตอนนี้ ฉันเพิ่มกฎ iptables เพื่อบล็อกที่อยู่ / 24 จากประเทศจีน แต่ฉันต้องมีความปลอดภัยมากกว่าและไม่ต้องกังวลกับแฮ็กเกอร์มากนัก

— user2625721

1

คุณสามารถใช้การตั้งค่าที่ต่ำมากfail2banสำหรับการsshเข้าสู่ระบบที่ล้มเหลว- 2 หรือ 3 ล้มเหลวก่อนที่จะห้าม - ด้วยเวลาแบนสั้น (10-15 นาที) เพื่อกีดกันแคร็กบอท แต่ไม่นานเกินไปที่จะทำให้คุณล็อกหากคุณเข้าสู่ระบบ พยายาม.

— douggro

1

คุณต้องการเข้าถึงโฮสต์นี้จากหลาย ๆ ที่หรือไม่? หรือคุณสามารถใช้ Jumpbox ที่มี IP แบบคงที่ได้หรือไม่? หากเป็นกรณีนี้คุณสามารถตั้งค่ากฎ iptables ที่อนุญาตการเข้าถึง SSH เฉพาะ IP ที่เฉพาะเจาะจง สิ่งนี้จะทำให้คุณปฏิเสธทุกคนยกเว้น IP แบบคงที่

คำแนะนำอื่น ๆ คือการเปลี่ยนบริการเพื่อฟังพอร์ตที่ไม่ได้มาตรฐานปิดใช้งานการรับรองความถูกต้องของรากและกำหนดค่า fail2ban

— Enefbee
แหล่งที่มา

0

ลองเปลี่ยนพอร์ต sshd เป็น 1,000+ Fail2ban ก็ช่วยได้เช่นกัน

ตัวอย่างเช่นฉันมีเซิร์ฟเวอร์บางตัวที่ใช้ sshd ในปี 1919 หรือ 905 และฉันแทบจะไม่ได้รับ IP จีนเหล่านี้พยายามที่จะทำให้เซิร์ฟเวอร์ของฉันวุ่นวาย

— Kriev
แหล่งที่มา