บันทึกระบบคำถาม - auth.log

3

ฉันค่อนข้างใหม่ที่นี่ ฉันดูบันทึกระบบของฉันและสังเกตสิ่งนี้:

Jul 21 00:57:47 htpc sshd[13001]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:49 htpc sshd[13001]: Failed password for root from 188.120.248.13 port 56899 ssh2
Jul 21 00:57:49 htpc sshd[13001]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:52 htpc sshd[13003]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:54 htpc sshd[13003]: Failed password for root from 188.120.248.13 port 54709 ssh2
Jul 21 00:57:54 htpc sshd[13003]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:57 htpc sshd[13005]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:58 htpc sshd[13005]: Failed password for root from 188.120.248.13 port 59488 ssh2
Jul 21 00:57:58 htpc sshd[13005]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]

มันแค่เดินต่อไป ไม่มีใครรู้ว่ามันคืออะไรกันแน่?

ขอบคุณล่วงหน้า.

ssh  security  connection  log 
user431432
แหล่งที่มา

คำตอบ:

3

หุ่นยนต์พยายามเดารหัสผ่านของคุณ เมื่อคุณมี IP สาธารณะและใช้งานบริการบนพอร์ตที่เปิดอยู่พวกเขาจะพยายามตลอดเวลา

หากคุณไม่ได้กำหนดเป้าหมายเป็นพิเศษและมีรหัสผ่านที่คาดเดายากหรือการตรวจสอบรหัสผ่านที่ปิดใช้งานจะไม่เป็นอันตราย มันเป็นเพียงการกินเวลาโปรเซสเซอร์ของคุณ

คุณสามารถต่อสู้กับเรื่องนี้โดยการซ่อนบริการของคุณไปยังพอร์ตที่แตกต่างกันโดยการซ่อนมันไว้เบื้องหลังบางบริการพอร์ตเคาะ ( fwknop) fail2banหรือห้ามการร้องขอเหล่านี้ในทันทีที่ใช้

Jakuje
แหล่งที่มา
2

ดูเหมือนว่าจะมีการพยายามลงชื่อเข้าใช้ซ้ำในฐานะผู้ใช้รูทผ่าน ssh ไม่ว่าจะเป็นบุคคลจริงหรือบอทไม่ชัดเจนหรือมีความเกี่ยวข้องเป็นพิเศษ การตรวจสอบย้อนกลับของ IP แสดงว่ามาจากรัสเซีย

ไม่ใช่ความคิดที่ดีที่จะสามารถ ssh เข้าสู่ระบบของคุณในฐานะรูทด้วยเหตุผลนี้ได้อย่างแม่นยำ แน่นอนถ้าคุณปฏิเสธการเข้าถึงหรือไม่ได้เปิดใช้งานรหัสผ่านผู้ใช้รูทพวกเขาจะไม่สามารถเข้าใช้งานได้! มี botnets จำนวนมากบนอินเทอร์เน็ตค้นหาพอร์ตที่เปิดอยู่และพยายามถอดรหัสรหัสผ่าน หากพบรหัสผ่านและผู้ใช้รูทสามารถล็อกอินผ่าน ssh การควบคุมทั้งหมดของระบบของคุณจะถูกส่งไปยัง baddies!

วิธีที่ดีที่จะหยิกนี้ในตาคือการปฏิเสธการเข้าถึงรากผ่าน SSH /etc/ssh/sshd_configโดยการเพิ่มเส้นไปยังไฟล์ที่พบใน บรรทัดต่อไปนี้จะเป็นประโยชน์ในการเพิ่ม:

DenyUsers root

และ / หรือ

PermitRootLogin no

ทำให้บริการ ssh โหลดการเปลี่ยนแปลงของคุณอีกครั้งด้วย:

sudo service ssh restart

ลิงค์ที่ดีเกี่ยวกับการทำให้แข็งเซิร์ฟเวอร์ ssh ของคุณสามารถพบได้ที่นี่

Arronical
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.