所以,有一天,我决定检查 ssh 服务器日志。检查后,发现了一些奇怪的东西。
大约有 3 个不同的 IP 试图暴力破解 root 密码?我该怎么办?
PS:IP 是:187.141.70.67,来自墨西哥?其他 2 个 IP 类似,来自中国,所以我认为它们是机器人。不确定。
抱歉,如果这是一个愚蠢的问题。我确实关闭了 ssh 服务器。
答案1
您应该做几件事:
- 通过 SSH 禁用 root 登录(/etc/ssh/sshd_config PermitRootLogin no)
- 如果可以的话 - 禁用密码验证。仅保留 ssh 密钥验证。(/etc/ssh/sshd_config PasswordAuthentication no)
- 使用 IDS(入侵检测系统)。例如 ossec
http://ossec.github.io/ - 使用 fail2banhttp://www.fail2ban.org/
- 您可以将 ossec 与 fail2ban 集成,这样一旦 ossec 检测到某些模式,您的 fail2ban 就会启动并阻止远程 IP。对于基本的 ssh 保护来说,它不是必需的,而是用于更高级的情况。