如果我打开 OS X“远程登录”(即 ssh 访问),我的控制台日志会收到如下常规消息:
22/04/2015 13:05:23.364 sshd[2118]: error: PAM: authentication error for root from 43.255.190.157 via 10.0.1.10
这些攻击大约每秒发生一次,持续很长时间。攻击者的 IP 地址会不时发生变化(但通常会在一段时间内停留在 43.255.190.* 之类的地址上)。关闭 ssh 访问会停止攻击几分钟,但如果重新启动远程登录(我确实需要!),攻击通常会在一小段时间内重新启动。
我并不特别担心实际攻击是否成功(特别是,我已经关闭了 root 帐户),但我是否应该担心过多的网络流量以及日志文件中是否充满了不必要的垃圾?如果可能的话,我强烈希望不要使用任何第三方软件。
我的机器位于电缆调制解调器和 Apple Time Capsule 后面,它可以完成所有 NAT 工作并将适当的端口转发到这台机器。
不管怎样,在 Mavericks 下 /etc/hosts.deny 似乎没有任何效果,但我知道我可以使用pfctl?
(我有一个关于 VNC 攻击的类似问题...)
答案1
无需担心,因为这是常见的“互联网背景噪音”。
如果你想摆脱这些“攻击者”,看看失败2ban(即使它是第三方的 - 它可以通过 Homebrew 和 MacPorts 获得,也可以应用于 vnc)。hosts.deny 和例如 deniedhosts 现在已知可以与 mavericks 中的 sshd 一起使用了。
答案2
您收到此消息的原因是,人们使用端口扫描器和其他软件来搜索开放的 SSH 地址,然后尝试使用默认用户名和密码(例如admin和 )登录12345。如果您可以处理额外的流量和通知,则无需担心。如果您不喜欢它,您可以尝试将 SSH 打开到另一个端口,例如 796。