我对 Linux 机器的保护和监控还不是很熟悉,但注意到我们本地托管的 LAMP 服务器(用于存储灾难恢复)出现了一些奇怪的行为。基本上,它定期报告自己处于离线状态,然后又恢复了。Apache2 日志显示了一些“正常关闭”,而 auth.log 显示以下内容:
Aug 1 09:39:01 ****** CRON[10907]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 1 09:39:01 ******** CRON[10907]: pam_unix(cron:session): session closed for user root
Aug 1 09:48:24 ******* sshd[10917]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=helpdesk.**********.*** user=root
Aug 1 09:48:26 ******** sshd[10917]: Failed password for root from 10.168.50.3 port 3831 ssh2
Aug 1 10:09:01 ********* CRON[10921]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 1 10:09:01 ******** CRON[10921]: pam_unix(cron:session): session closed for user root
Aug 1 10:17:01 ********* CRON[10931]: pam_unix(cron:session): session opened for user root by (uid=0)
我是否正确地假设,root 条目中输入的密码失败是某个系统试图通过 ssh 访问该框?令人恼火的是,它是我们网络内的系统。此外,Apache2 是否有理由定期“正常”关闭?它会这样做以清除缓存等吗?
答案1
将其从评论中移出...
Apache 重新启动
您的每日日志轮换脚本通常会重新启动 Apache 以关闭打开的日志文件。如果重新启动对应于 cron 中的条目(通常在/etc/crontab、/etc/cron.d或 中/etc/cron.daily),那么您可以非常肯定这是正在发生的事情。这可能由对 的每日调用来控制logrotate,该调用通过/etc/logrotate.conf和进行配置/etc/logrotate.d。
请注意,其中一些路径可能是特定于分布的。
SSH 访问尝试
任何向世界开放 ssh 端口的系统都将会看到大量失败的 ssh 尝试,因为到处都有人在运行探测以查找有漏洞的系统。
但是,您已确定这些连接来自您的网络内部,因此首先要做的是联系负责发起系统的人员,看看发生了什么。这可能是安全扫描仪之类的合法设备,也可能是受感染的系统。
我在这里冒昧地表达个人观点,但如果你允许对系统进行密码验证,那么你在某些时候会给自己带来麻烦。配置 ssh 的最安全方法是简单地在 sshd 配置中禁用密码验证,并完全依赖基于密钥的身份验证进行访问。通过这样做,你可以消除暴力破解密码所带来的风险,还可以缓解各种其他问题。攻击者无法使用通过其他方式获取的密码来访问系统,并且通过其他方式的成功攻击不能用于通过安装特洛伊木马 ssh 服务器来获取密码。