it-swarm-ja.com

潜在的なSSHセキュリティの問題?

FreeBSDマシンで「netstat-a」を実行しました。私は次のことを発見しました:

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 40 turban.ssh Host90.embarqser.60230 ESTABLISHED
tcp4 0 0 turban.ssh Host90.embarqser.59985 LAST_ACK
tcp4 0 0 turban.ssh Host90.embarqser.47224 TIME_WAIT
tcp4 0 0 turban.ssh Host90.embarqser.9304 LAST_ACK

誰かが私のマシンに侵入する可能性はありますか?ご覧のとおり、私のホスト名は「ターバン」です。私はシステムセキュリティについて本当に「新しい」です。誰かが私を啓発できますか?

/var/log/auth.logから、次のような多くのエラーが発生します。

5月4日20:07:10turban sshd [47801]:76.7.43.90ポート11831ssh2からの無効なユーザーバックアップのキーボードインタラクティブ/ pamに失敗しました

5月4日20:07:13turban sshd [47804]:エラー:PAM:76.7.43.90からのビンの認証エラー..

4
will

詳細については、/ var /auth.logを参照してください。

誰かがあなたのマシンにアクセスしようとすると、このファイルに記録されます。

私のauth.logからの例:

4月24日13:53:16my-server sshd [8107]:123.123.123.123ポート59167ssh2からの無効なユーザーdb2のパスワードが失敗しました

接続された(SSH接続)ユーザーのIPを表示するには、次のように入力します。

netstat -atn | egrep '(:22)' | egrep -v '(:::|0.0.0.0)' | awk '{print substr($5,0,length($5)-5)}' | sort | uniq -c

これにより、IPと接続数/ IPが表示されます

2
Wolfy

簡単な答えは、誰かがあなたのシステムに侵入しようとしているということです。おそらく、典型的な辞書攻撃のバリエーションを介して(つまり、ランダムに推測するのではなく、一般的なユーザー名とパスワードの組み合わせを試すことによって)。

@Henkからの優れたアドバイス(たとえば、特定のグループ、通常はsshusersを作成し、そのグループのユーザーのみにログインを許可します)に加えて、インストールすることをお勧めします Fail2ban = SSHジェイルが設定されたシステム上。これにより、サーバーに対するブルートフォース攻撃の難易度がほぼ不可能な領域にまで高まります。攻撃者は、攻撃を試みると、しばらくの間突然遮断されるためです。これを「 Fail2banmonitoring Fail2ban 」というタイトルのハウツーと組み合わせて、攻撃に対する応答を高めます(最初はデフォルトの10分間の禁止で設定し、それが続く場合は1週間)、そして、心配するのを完全にやめることができます(少なくとも十分に強力なパスワードを持っている場合、代わりにpubkeysを使用すれば、ほとんど無敵です!)。

1
Kromey

私はこの特定の発見についてあまり心配しません。たぶん誰かが「ポートノック SSHポートで「port-scan」を実行しますが(辞書スキャナーなどを使用)、適切なパスワードまたは認証キーのみを使用していることが望ましいため、成功しませんでした。

知識を深めるには、このブログ投稿を読んでください SSHリモートアクセスセキュリティの向上 他に何ができるかを確認してください。 「特定のユーザーのみにSSHによるログインを許可する」の部分。そしてSSHを介したrootログインを許可しない

1
Henk

私のログはロシア人、アメリカ人が私の22番目の港で英語の名前を試していることでいっぱいです。残念ながら、SSHポートを307に移動し、ポート54321でポートノッキングを使用してSSHポートを開きました。

1
karatedog