我已经在我的服务器上安装了 OSSEC,并且收到了类似以下的报告:
1 月 11 日 19:27:03 Daddy sshd[14459]: pam_unix(sshd:auth): 身份验证失败;logname= uid=0 euid=0 tty=ssh ruser= rhost=58.215.184.93 user=root
1 月 11 日 19:26:54 Daddy sshd[14457]: pam_unix(sshd:auth): 身份验证失败;logname= uid=0 euid=0 tty=ssh ruser= rhost=58.215.184.93 user=root
每封邮件重复约 10 次。到目前为止,每天都会收到来自 OSSEC 的 3 或 4 封这样的邮件。当然,我最初的情绪是有点愤怒,并且想着“他们怎么敢试图侵入我的盒子!”但我想这无论如何都是当今网络的状态。前几天,也有人尝试使用用户 bin
我也收到了这条消息:
1 月 12 日 02:04:07 Daddy sshd[16109]: 反向映射检查 static-52-53.mk-net.ru [91.211.52.53] 的 getaddrinfo 失败 - 可能存在入侵尝试!
(再次重复多次)
我知道当他们试图确保你不是一个可能的僵尸网络时,至少有一个来自 freenode 的良性反向映射源,但我还没有去检查该来源。
我们对漏洞问题非常敏感,特别是之前的服务器可能通过 phpMyAdmin 被黑客入侵。
因此,显然,任何有关保护我们服务器的建议/资源都会受到欢迎,但我的主要问题是:我们应该担心这些入侵尝试吗?root 用户没有密码(登录已禁用),那么忽略这些失败的登录是否安全?我还能或应该做些什么来限制这条途径上可能存在的漏洞吗?该系统位于路由器后面,只打开必要的(例如我们正在使用的服务)端口(ssh、apache 和 postfix)。
答案1
是的,如果禁用通过 SSH 的 root 登录,您绝对可以忽略 root 失败的尝试 - 并且反向 DNS 失败不值得担心;它们很可能来自攻击者,但这只是他们的 ISP 不一致的配置。
如果您想睡得好一点,请看一下 fail2ban - 它可以设置为在重复失败后暂时阻止攻击者的 IP。
答案2
我应该担心吗?只有当您不确定它是如何保护的时候。
使用 SSH,最高级别的安全性是强制使用密钥和密码登录。
通过将端口号从默认的 22 更改为其他端口号,您可以显著减少(但不能停止)SSH 登录尝试。这不会增强安全性,但会推迟大量自动探测,这些探测会探测常用端口号以查看是否有监听服务。
如果可行,请通过使用防火墙规则仅允许从已知位置到端口 22 的 TCP 连接。否则,有方法可以阻止/阻止来自这些位置的多次失败的连接尝试。fail2ban 是一个可以执行此操作的脚本(正如 Shane 已经提到的)。我可以推荐它,因为我以前用过它。