Là máy chủ này bị hack hoặc chỉ cố gắng đăng nhập? Xem nhật ký

Ai đó có thể nói điều này có nghĩa là gì? Tôi đã thử một lệnh muốn lastbxem thông tin đăng nhập của người dùng cuối cùng và tôi thấy một số thông tin đăng nhập lạ từ Trung Quốc (máy chủ là EU, tôi ở EU). Tôi đã tự hỏi nếu đây có thể là nỗ lực đăng nhập hoặc đăng nhập thành công?

Chúng dường như rất cũ và thường tôi chỉ khóa cổng 22 với IP của mình, tôi nghĩ rằng tôi đã mở cổng được một lúc, nhật ký cuối cùng là vào tháng Bảy.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)

lastbchỉ hiển thị lỗi đăng nhập . Sử dụng lastđể xem thông tin đăng nhập thành công.

Nó cho thấy mọi người đang cố gắng tải lên hoặc tải xuống nội dung. Phần "notty" có nghĩa là không có tty (trong đó tty là viết tắt của teletype) mà ngày nay có nghĩa là không có màn hình hoặc gui, và ssh chỉ cổng 22, được ghép lại có nghĩa là một cái gì đó như scp hoặc rsync.

Vì vậy, không hack hoặc đăng nhập cố gắng, nhưng mật khẩu sai hoặc nhập sai. Nó có thể là một số nội dung được tìm thấy thông qua google, nhưng yêu cầu một mật khẩu mà ai đó đã cố gắng đoán.

Trên thực tế, về sự phản ánh, những điều trên là không đúng. Họ có thể thất bại khi đăng nhập thông qua ssh, như người hỏi nghi ngờ; và (như tôi đã bỏ lỡ lần đầu tiên) chúng ở các khoảng thời gian 21 hoặc 22 phút thông thường cho thấy mức độ tự động hóa, nhưng lastbcho thấy sự thất bại theo định nghĩa, vì vậy những kết quả này sẽ cần được so sánh lastđể xem liệu có thành công hay không.

Đóng cổng 22. Định cấu hình sshd của bạn để nghe trên một cổng khác, đồng thời cài đặt và chạy denyhosts.

Tại sao không sử dụng lần cuối ?? Vui lòng sử dụng lệnh 'cuối cùng' và tìm kiếm ips từ Trung Quốc hoặc bên ngoài Hoa Kỳ.

Ngoài ra ... người đàn ông là bạn của bạn người đàn ông cuối cùng

Lastb giống như lần trước, ngoại trừ theo mặc định, nó hiển thị nhật ký của tệp / var / log / btmp, chứa tất cả các lần thử đăng nhập xấu.

Có, những cái đó dường như là các lần thử đăng nhập vì cùng một IP đã sử dụng nhiều tên người dùng để thử nhập. Rất có thể là một cuộc tấn công Brute Force.

Để giải quyết điều này:

Cài đặt Fail2Ban và chặn các lần đăng nhập thất bại với -1, điều này làm cho lệnh cấm của họ là vĩnh viễn.

Thêm một tập tin tù để bảo vệ SSH. Tạo một tệp mới với trình soạn thảo Nano hoặc vi, vim

nano /etc/fail2ban/jail.d/sshd.local

Để tập tin trên, thêm các dòng mã sau đây.

[sshd]

đã bật = đúng

cổng = ssh

"#" hành động = tường lửacmd-ipset

logpath =% (sshd_log) s

maxretry = 5

thời gian nghỉ = -1

RE: cuối cùng

Các mục "ssh: notty" / var / log / btmp cho biết các lần đăng nhập thất bại từ số cổng SSH được chỉ định trong "/ etc / ssh / sshd_config".

Vì lý do bảo mật, cổng SSH thường sẽ được thay đổi thành một số khác với "22". Vì vậy, "ssh", trong ngữ cảnh này, chỉ có nghĩa là số cổng SSH hiện được gán (không phải 22).

Bởi vì bắt tay chứng chỉ SSH thành công NÊN luôn luôn được yêu cầu truy cập màn hình đăng nhập, bất kỳ mục nhật ký "ssh: notty" nào cũng có thể xảy ra do các lần đăng nhập thất bại của chính bạn; thường là từ một tên người dùng sai. Lưu ý địa chỉ IP được liên kết với mục nhật ký ... có thể là của riêng bạn!

"notty" có nghĩa là "không tty".

Tìm hiểu bảo mật cơ bản, cách thức hoạt động, vị trí của các bản ghi và cách diễn giải chúng, và các tệp cấu hình khác nhau và các chỉ thị có ý nghĩa gì, và cách định cấu hình IPTables, trước khi bạn thiết lập và sử dụng máy chủ Linux. Hạn chế đăng nhập vào một "địa chỉ IP tĩnh" và giới hạn đăng nhập giới hạn / restrick:

Các chỉ thị cấu hình SSH cơ bản hạn chế đăng nhập và chỉ cho phép đăng nhập từ người dùng và địa chỉ IP cụ thể:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Đừng quên "khởi động lại" dịch vụ SSH sau khi chỉnh sửa.

Các quy tắc IPTables BASIC chỉ cho phép kết nối SSH từ một địa chỉ IP tĩnh cụ thể:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Đừng quên "khôi phục" các bảng IP sau khi thay đổi.

Trên mạng LAN hoặc trong môi trường đám mây "được lưu trữ", đừng quên bảo mật phía "riêng tư" (bộ điều hợp mạng). Kẻ thù của bạn thường có quyền truy cập vào mạng của bạn và đi qua cửa sau.

Nếu bạn đang ở trong môi trường đám mây như RackSpace hoặc DigitalOcean và bạn làm hỏng cấu hình và tự khóa, bạn luôn có thể truy cập vào bảng điều khiển và sửa nó. LUÔN LUÔN SAO CÁC BẢN SAO CỦA CONFIG PHIM TRƯỚC KHI CHỈNH SỬA !!!