最近,我和几个朋友想出了一个应用程序的主意。为了方便创建它,我们在 Ubuntu Server 12.04 上设置了 LAMP。这个机器在我家运行。我们设置了 3 个用户帐户。我对 Linux 还很陌生,但我在自己的机器上使用 Ubuntu 有一些经验。
今天,我正在玩 SSH 并查看日志(我需要学习如何读取这些信息才能了解服务器的运行情况,对吗?)然后我看到了最奇怪的事情。
在 /var/log/auth.log 和 /var/log/auth.log.1 中,我看到大量“root”和一些我不熟悉的用户名的登录尝试失败。我查看了它们,据我所知,除了系统上的实际用户外,没有用户经过身份验证。列出的许多 IP 地址似乎来自俄罗斯。
到目前为止,该服务器只包含一个带有 LAMP 的原始 Ubuntu 服务器,但即便如此,也可以使用以下命令:
sudo grep -i fail /var/log/auth.log | wc -l
结果我得到了 3412 条结果。对于一个自 4 月 8 日以来就一直运行的服务器来说,这似乎太过分了。情况更糟,因为在 auth.log.1 上运行上述命令会返回 23075 条结果(!!!!)。
显然有人在试图入侵服务器。虽然服务器中没有任何有价值的东西,但一旦我们开始开发应用程序,我们可不想自己的知识产权被盗。
我该担心吗?我能做什么呢?
编辑:
我发现了一些非常有用的信息这里这使我能够运行一个脚本,拆分和排序所有尝试登录的无效密码和无效用户。对于通过 Google 来到这里的人来说可能会派上用场!
答案1
我也经常遇到这种情况。有很多脚本小子试图对您的 SSH 服务器进行暴力攻击。
我到目前为止的解决方案是安装拒绝主机,但似乎在 14.04 中将不受支持;下一个最佳解决方案似乎是失败禁止. 链接和更多信息Ubuntu Trusty Tahr 中的软件包 deniedhosts 已被删除:暂时还是永久?
在该回答中,bodhi.zazen 指出了这个备受推荐的页面:https://web.archive.org/web/20190828185822/http://bodhizazen.com/Tutorials/SSH_security