/ var / catat entri mencurigakan

8

Untuk kesenangan saya mengekor /var/log/auth.log(tail auth.log) dan ada banyak hal berikut ini:

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

IP tampaknya berasal dari Cina ...

Saya menambahkan aturan iptables untuk memblokir ip dan sekarang hilang.

Sekarang melihat yang berikut:

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

Entri apa dan apa yang bisa saya lakukan untuk melindungi atau melihat ancaman secara dinamis.
Saya sudah fail2banmenginstal.

Terima kasih sebelumnya

networking  ssh  security 
pengguna2625721
sumber
Apakah Anda memerlukan sshport terbuka di sisi publik? Apa aturan yang ditambahkan iptables? Setelah sshterkena sisi publik akan menghasilkan banyak hit dari sniffer port dan crackbots, yang mungkin menjadi penyebab entri yang Anda lihat sekarang.
douggro
Server di-host di Linode.com, saya ssh ke kotak untuk mengelola, mengubah, dan melakukan segalanya, jadi saya perlu ssh untuk saat ini. Saya menambahkan aturan iptables untuk memblokir alamat / 24 dari Cina. Tapi saya harus lebih aman dan tidak terlalu khawatir tentang peretas.
user2625721
1
Anda dapat menggunakan pengaturan ambang batas sangat rendah fail2banuntuk sshmasuk yang gagal - 2 atau 3 gagal sebelum pelarangan - dengan waktu larangan yang singkat (10-15 menit) untuk mencegah crackbot tetapi tidak terlalu lama untuk membuat Anda terkunci jika Anda masuk dengan login mencoba.
douggro

Jawaban:

1

Apakah Anda memerlukan akses ke host ini dari beberapa lokasi? Atau bisakah Anda menggunakan jumpbox yang memiliki IP statis? Jika demikian, Anda dapat menetapkan aturan iptables yang hanya memungkinkan akses SSH ke IP tertentu. Ini akan memberi Anda penolakan implisit kepada siapa pun kecuali IP statis.

Rekomendasi lain adalah mengubah layanan untuk mendengarkan pada port non-standar, menonaktifkan otentikasi root, dan mengkonfigurasi fail2ban.

Enefbee
sumber
0

Coba ubah port sshd Anda menjadi 1000+. Fail2ban juga membantu.

Sebagai contoh saya memiliki beberapa server yang menjalankan sshd pada tahun 1919 atau 905 dan saya hampir tidak mendapatkan IP Cina ini mencoba untuk memaksa server saya.

Kriev
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.