我有一台运行 Debian 6.0 的服务器,其中安装了 logcheck。昨天,我收到了以下消息:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
我不知道他是谁,而且我怀疑他是偶然来到这里的。
现在我该怎么办?
我做的第一件事是禁用 ssh 密码验证,并切换到公钥/私钥。我还检查了 authorized_keys 文件,只看到我的公钥
接下来是什么?
我怎么知道其他人在我的机器上做了什么?
答案1
我相信这是一个 bug,已经存在了太长了这在以后的版本(6.0p1)中已修复。
通过尝试从受限制的主机自己连接到系统、使用不同的密钥并查看收到的消息,应该可以相当容易地验证这一点。
答案2
这可能是OpenSSH 中长期存在的错误这只是已在 6.0p1 中修复。在这种情况下,您可以放心地忽略它。但是,如果您想安全起见,原始答案(假设您不受此错误的影响)是:
您的 ssh 私钥可能已被泄露,因为有人拥有用于登录您的 root 帐户的有效私钥。事实上,有人没有从允许的 IP 地址登录,这使您免于进一步的泄露。然而,这是一个严重的泄露;它表明您的工作站(或您通常使用的其他机器)已被泄露。
您应该将接触到的每个工作站和服务器视为可能受到攻击的服务器。格式化并重新安装您的工作站。撤销/销毁全部删除现有的 ssh 密钥并重新设置所有内容。更改所有密码。强烈建议清除并重新安装您有权使用此密钥登录的所有服务器。