/ var / log不審なエントリ

8

楽しみのために、tailed /var/log/auth.log(tail auth.log)しました。

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

IPは中国からのようです...

iptablesルールを追加してIPをブロックしましたが、今はなくなっています。

次のようになります。

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

エントリとは何か、脅威を保護または動的に表示するために何ができるか。
私が持っているfail2banインストールされています。

前もって感謝します

networking  ssh  security 
user2625721
ソース
ssh公開側でポートを開く必要がありますか?ルールは何に追加されましたiptablesか?たssh公共側に露出はあなたが今見ているエントリの原因である可能性があり、ポートスニッファとcrackbots、からのヒット曲の多くを生成するために起こっています。
douggro
サーバーはLinode.comでホストされているので、管理、変更、およびすべてを行うためにsshでボックスにアクセスするため、今はsshが必要です。中国からの/ 24アドレスをブロックするiptablesルールを追加しました。しかし、私はより安全で、ハッカーのことをあまり気にしない必要があります。
user2625721 14
1
ログインfail2banに失敗した場合に非常に低いしきい値の設定を使用できますssh-禁止する前に2または3失敗-禁止期間が短い(10-15分)と、クラックボットを思いとどまらせますが、ログインを禁止した場合にロックアウトしたままにしておくには長すぎません試み。
douggro

回答:

1

複数の場所からこのホストにアクセスする必要がありますか?または、静的IPを持つジャンプボックスを使用できますか?この場合、特定のIPへのSSHアクセスのみを許可するiptablesルールを設定できます。これにより、静的IPを除くすべてのユーザーに対して暗黙の拒否が行われます。

他の推奨事項は、非標準ポートでリッスンするようにサービスを変更し、ルート認証を無効にし、fail2banを構成することです。

エネフビー
ソース
0

sshdポートを1000以上に変更してみてください。Fail2banも役立ちます。

たとえば、1919または905でsshdを実行しているサーバーがあり、これらの中国のIPがサーバーをブルートフォース攻撃しようとすることはほとんどありません。

クリエフ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.