/ var / log podejrzane wpisy

8

Dla zabawy I tailed /var/log/auth.log(tail auth.log) i było ich wiele:

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

Wygląda na to, że ip pochodzi z Chin ...

Dodałem regułę iptables, aby zablokować ip i już go nie ma.

Teraz widzimy, co następuje:

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

Co to są oba wpisy i co mogę zrobić, aby chronić lub dynamicznie widzieć zagrożenia.
Mam fail2banzainstalowane.

Z góry dziękuję

networking ssh security użytkownik2625721
źródło
Czy potrzebujesz sshportu otwartego po stronie publicznej? Do czego dodano zasadę iptables? Po sshnarażone na stronie publicznej będzie generować wiele przebojów z sniffer i crackbots portowych, które mogą być przyczyną zapisów widzisz teraz.
douggro
Serwer jest hostowany w Linode.com, ssh do skrzynki, aby zarządzać, zmieniać i robić wszystko, więc na razie potrzebuję ssh. Dodałem regułę iptables, aby zablokować adres / 24 z Chin. Ale muszę być bardziej bezpieczny i nie martwić się o hakerów.
user2625721,
1
Możesz użyć ustawienia bardzo niskiego progu fail2bandla nieudanych sshlogowań - 2 lub 3 kończy się niepowodzeniem przed banowaniem - z krótkim czasem banowania (10-15 minut), aby zniechęcić crackboty, ale nie za długo, aby Cię zablokować, jeśli kupisz login próba.
douggro

Odpowiedzi:

1

Czy potrzebujesz dostępu do tego hosta z wielu lokalizacji? Czy możesz użyć skoczka, który ma statyczny adres IP? W takim przypadku możesz ustawić regułę iptables, która zezwala SSH na dostęp tylko do określonych adresów IP. To da ci domyślną odmowę każdemu oprócz statycznych adresów IP.

Inne zalecenia to zmiana usługi na nasłuch na niestandardowym porcie, wyłączenie uwierzytelniania roota i skonfigurowanie fail2ban.

Enefbee
źródło
0

Spróbuj zmienić swój port sshd na 1000+. Fail2ban też pomaga.

Na przykład mam kilka serwerów z sshd na 1919 lub 905 i ledwo dostaję te chińskie adresy IP próbujące brutalnie zmusić moje serwery.

Kriev
źródło