このサーバーはハッキングされていますか、それとも単にログインの試みですか？ログを見る

これはどういう意味ですか？lastb最後のユーザーログインを表示するようなコマンドを試しましたが、中国からの奇妙なログインが表示されます（サーバーはEUですが、私はEUにいます）。これらがログイン試行であるのか、それともログイン成功であるのか疑問に思っていましたか？

これらは非常に古く、通常はポート22を自分のIPのみにロックしています。しばらくの間ポートを開いていたと思います。最後のログは7月です。

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)

lastbログインの失敗のみを表示します。last成功したログインを確認するために使用します。

コンテンツをアップロードまたはダウンロードしようとしている人々を示しています。"notty"の部分はttyがないことを意味し（ttyはテレタイプの略）、今日ではモニターやGUIはありません。また、sshはポート22を示し、まとめてscpやrsyncなどを意味します。

つまり、ハッキングやログインの試みではなく、パスワードの間違いやタイプミスです。一部のコンテンツはグーグル経由で見つけられたかもしれませんが、誰かが推測しようとしたパスワードが必要でした。

実は、振り返ってみると、上記は正しくありません。質問者が疑ったように、sshを介したログイン試行が失敗した可能性があります。そして（私が初めて見逃したように）それらは定期的な21または22分間隔であり、ある程度の自動化を示唆していlastbますが、定義により失敗を示しているため、これらの結果を比較してlast、成功したかどうかを確認する必要があります。

ポート22を閉じます。別のポートで待機するようにsshdを構成し、denyhostsをインストールして実行します。

なぜ最後に使用しないのですか？「last」コマンドを使用して、中国または米国外のIPを探してください。

また...男は友達の男ですlasttb

Lastbはlastと同じですが、デフォルトでは/ var / log / btmpファイルのログが表示されますが、これにはすべての不正なログイン試行が含まれています。

はい、同じIPが複数のユーザー名を使用してエントリを試行したため、それらはログイン試行のように見えます。おそらくブルートフォース攻撃です。

これを解決するには：

Fail2Banをインストールし、失敗したログイン試行を-1でブロックすると、禁止が永続的になります。

SSHを保護するためにjailファイルを追加します。Nanoエディターまたはvi、vimで新しいファイルを作成します。

nano /etc/fail2ban/jail.d/sshd.local

上記のファイルに、次のコード行を追加します。

[sshd]

enabled = true

ポート= ssh

「＃」アクション= firewallcmd-ipset

ログパス=％（sshd_log）s

maxretry = 5

bantime = -1

RE：ラスト

「ssh：notty」/ var / log / btmpエントリは、「/ etc / ssh / sshd_config」で割り当てられたSSHポート番号からのログイン試行の失敗を示します。

セキュリティ上の理由から、SSHポートは通常「22」以外の番号に変更されています。したがって、このコンテキストでの「ssh」は、現在割り当てられている（22以外の）SSHポート番号を意味します。

ログイン画面に到達するには、SSH証明書のハンドシェイクに成功する必要があるため、常に「ssh：notty」ログエントリは、ログイン試行の失敗によるものです。通常、タイプミスしたユーザー名から。ログエントリに関連付けられているIPアドレスに注意してください...それはおそらくあなた自身のものです！

「notty」は「no tty」を意味します。

Linuxサーバーをセットアップして使用する前に、基本的なセキュリティ、その仕組み、ログの場所とログの解釈方法、さまざまな構成ファイルの場所とディレクティブの意味、およびIPTablesの構成方法について学びます。ログインを「静的IPアドレス」に制限し、ログイン試行を制限/再試行します。

ログインを制限し、特定のユーザーとIPアドレスからのログインのみを許可するBASIC SSH構成ディレクティブ：

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

編集後にSSHサービスを「再起動」することを忘れないでください。

特定の静的IPアドレスからのSSH接続のみを許可する基本的なIPTablesルール：

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

変更後にIPテーブルを「復元」することを忘れないでください。

LANまたは「ホストされた」クラウド環境では、「プライベート」側（ネットワークアダプター）を保護することを忘れないでください。多くの場合、敵はすでにネットワークにアクセスしており、バックドアから侵入します。

RackSpaceやDigitalOceanなどのクラウド環境を使用していて、構成を誤ってロックアウトした場合は、いつでもコンソールからアクセスして修正できます。編集する前に、必ず設定ファイルのコピーを作成してください!!!