我的服务器收到大量针对各种账户的身份验证失败尝试。最常见的一个(我见过的)是该root账户。
我已经启用失败禁止并运行了几次 rootkit/恶意软件检查以确保我没有受到攻击。我还应该做什么?我只启用了三个帐户,只有两个帐户可以访问 SSH。我对任何尝试 SSH 登录失败超过六次的人实施了 48 小时的全面禁令。我没有启用 FTP。
答案1
如果您使用公钥/私钥对,那么您几乎不用担心暴力登录尝试。如果您禁用了密码验证,就是这样。
您可以ssh在非标准端口上运行,但是2222,很快您也会开始看到这些端口上的尝试,因为很多僵尸网络也运行端口扫描器。
另一个你可以考虑设置的东西是端口敲击,这很麻烦,但可以锁定 ssh,只允许那些发出正确“敲击”的人使用,http://en.wikipedia.org/wiki/Port_knocking
答案2
通过在 sshd_config 文件(通常位于 /etc/ssh/sshd_config)中添加/更改以下行来禁用密码验证和 root 登录
PasswordAuthentication no
PermitRootLogin no
您所看到的现象很正常——这种现象在开放的互联网上已经发生多年了,并且永远不会停止。
如果您还没有这样做,那么您需要在关闭密码之前弄清楚公钥授权。
答案3
我经常遇到这种情况,没完没了。最好的办法就是确保你没有使用通用账户和通用密码。
我也使用 fail2ban,它工作得很好。(但大多数时候,我受到所有不同主机的攻击,所以它没有太大帮助)