/ var / log / secureの「侵入の可能性！」—これはどういう意味ですか？

VPSプラットフォームでCentOS 5.xボックスを実行しています。私のVPSホストは、接続に関するサポートの問い合わせを誤って解釈し、いくつかのiptablesルールを効果的にフラッシュしました。これにより、sshは標準ポートでリッスンし、ポート接続テストを承認しました。うるさい。

幸いなことに、SSH認証キーが必要です。私が知る限り、侵害が成功したとは思いません。ただし、/ var / log / secureに表示される内容については非常に心配しています。

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

「侵入の可能性」とはどういう意味ですか？成功したことは？または、リクエストの送信元のIPが気に入らないということですか？

残念ながら、これは現在非常に一般的なことです。これはSSHに対する自動化された攻撃であり、「一般的な」ユーザー名を使用してシステムに侵入しようとします。メッセージは、まさにそれが言っていることを意味します、それはあなたがハッキングされたことを意味するのではなく、誰かが試みたことだけです。

具体的には、「侵入可能試行」の部分は、「getaddrinfoが失敗したことを確認する逆マッピング」の部分に関連しています。これは、接続していた人が正引きDNSと逆引きDNSを正しく構成していないことを意味します。これは、特にISP接続の場合に非常に一般的です。ISP接続では、おそらく「攻撃」が発生していました。

「POSSIBLE BREAK-IN ATTEMPT」メッセージとは無関係に、その人は実際に一般的なユーザー名とパスワードを使用して侵入しようとしています。SSHに単純なパスワードを使用しないでください。実際、パスワードを完全に無効にし、SSHキーのみを使用することをお勧めします。

「「可能性のある侵入」とはどういう意味ですか？」

これは、ネットブロックの所有者が範囲内の静的IPのPTRレコードを更新せず、PTRレコードが古い、または ISPが動的IPの顧客に適切な逆引きレコードを設定しないことを意味します。これは、大規模なISPでも非常に一般的です。

不適切なPTRレコード（上記の理由のいずれか）のあるIPから来た誰かがサーバーにSSHを試みるために一般的なユーザー名を使用しようとしているため、ログにメッセージが表示されます（ブルートフォース攻撃、またはおそらく正直な間違い） ）。

これらのアラートを無効にするには、2つの選択肢があります。

1）静的IPがある場合は、逆マッピングを/ etc / hostsファイルに追加します（詳細はこちらを参照してください）。

10.10.10.10 server.remotehost.com

2）動的IPがあり、それらのアラートを本当に消したい場合は、/ etc / ssh / sshd_configファイルの「GSSAPIAuthentication yes」をコメントアウトします。

sshd_config（UseDNS no）で逆引きをオフにすることで、ログを読みやすくしたり確認したりすることができます。これにより、sshdが「ノイズ」行に「可能性のある侵入」を含むログを記録することを防ぎ、「IPADDRESSからの無効なユーザーUSER」を含む少し興味深い行に集中することができます。

ログインに成功する必要はありませんが、「可能」および「試行」と言うものです。

悪意のある少年または脚本家の子供が、偽造IPを使用して細工したトラフィックを送信しています。

元のIPの制限をSSHキーに追加して、fail2banなどを試すことができます。