我看到一些日志实体看起来像是黑客攻击
类型1
Dec 26 03:09:01 ... CRON[9271]: pam_unix(cron:session): session closed for user root
Dec 26 03:17:01 ... CRON[9308]: pam_unix(cron:session): session opened for user root by (uid=0)
2型
Dec 26 03:27:11 ... sshd[9364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.217.235.5 user=root
Dec 26 03:27:12 ... sshd[9364]: Failed password for root from 60.217.235.5 port 47933 ssh2
这些是什么意思呢?它们通常以 5 为单位。我启用了ufw limit ssh.所以我认为 UFW 正在践踏这一点。但想知道为什么有2种,1种身份验证失败,1种会话关闭。
denyhosts我想我应该通过使用、更改 ssh 端口并禁用 root 登录来响应此问题?我还可以做些什么?上次我使用拒绝主机时,它也阻止了我...另外我可以增加 UFW 重试时间吗?比如只允许1小时后登录?也许将登录尝试减少到 3 次?
答案1
正如已经提到的,第一种类型不来自任何 SSH 相关的东西,它是你的 cron 守护进程的活动日志,这不是有害的,但很常见。第二个可能是黑客的登录尝试,应该遵循这些尝试。denyhosts可能对您有帮助,但禁用 root 登录的可能性也是一个非常好的主意(在除了 denyhosts, 不是代替!)
答案2
消息来自克朗记录正常活动。这些是由 root 执行的计划任务(可能每小时或每天执行)。
来自 SSH 的消息表明有人尝试以 root 身份登录。有些机器人会尝试随机地址并尝试使用弱密码登录或利用安全漏洞。大多数人可以忽略这些尝试,您所需要做的就是遵守简单的卫生:
- 通过设置完全禁用密码身份验证
/etc/sshd_config(可能/etc/ssh/sshd_config或某个类似位置,具体取决于您的发行版)PasswordAuthentication No;或者确保系统上的每个用户都有一个强密码(不是字典单词或密码的简单变体)。 - 确保您的 ssh 服务器是最新的(没有已知的安全漏洞)。
如果这些尝试占用了您的大部分带宽、CPU 或日志空间,您可以实施更严格的措施,但要注意,限制 SSH 有一天可能会将您拒之门外。更改端口将使您对大多数机器人不可见(您不再是最容易实现的目标),但是您可能无法通过某些防火墙登录(如果您确实想更改端口,并且您不这样做)运行 HTTPS 服务器时,443 很好,因为大多数防火墙允许 HTTPS 并且无法区分与 SSH)。 Denyhosts 将减少尝试次数。端口敲门还有另一种方法,但它不是很有用:您只能从您控制的不受严格防火墙保护的计算机登录,而且好处相当小。
答案3
您可以使用一种称为“端口敲门”的方法。
谷歌“iptables 端口敲门”。
对于外界来说,这看起来就像你没有运行 ssh 服务器。