系统日志问题-auth.log

系统日志问题-auth.log

我是这里的新手。我查看了我的系统日志并注意到了这一点:

Jul 21 00:57:47 htpc sshd[13001]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:49 htpc sshd[13001]: Failed password for root from 188.120.248.13 port 56899 ssh2
Jul 21 00:57:49 htpc sshd[13001]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:52 htpc sshd[13003]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:54 htpc sshd[13003]: Failed password for root from 188.120.248.13 port 54709 ssh2
Jul 21 00:57:54 htpc sshd[13003]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:57 htpc sshd[13005]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:58 htpc sshd[13005]: Failed password for root from 188.120.248.13 port 59488 ssh2
Jul 21 00:57:58 htpc sshd[13005]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]

它一直在继续。有人知道它到底是什么吗?

提前致谢。

答案1

机器人试图猜测您的密码。当您拥有公共 IP 并在开放端口上运行服务时,它们会一直尝试。

如果您没有受到特别攻击,并且密码强度足够高,或者禁用了密码验证,那么这些攻击是无害的。它们只是在浪费您的处理器时间。

您可以通过将您的服务隐藏到不同的端口、将其隐藏在某些端口敲击服务(fwknop)后面或使用动态禁止这些请求来解决这个问题fail2ban

答案2

这看起来像是多次尝试通过 ssh 以 root 用户身份登录,不清楚是真人还是机器人,或者特别相关。反向检查 IP 表明它来自俄罗斯。

正是出于这个原因,以 root 身份通过 ssh 进入系统并不是一个好主意。当然,如果您已经拒绝访问,或者没有激活 root 用户密码,他们无论如何都无法进入!互联网上有大量僵尸网络,它们会搜索开放端口并尝试破解密码。如果找到密码,并且 root 用户可以通过 ssh 登录,那么您系统的完全控制权将落入坏人之手!

一个防止这种情况发生的好办法是拒绝通过 ssh 进行 root 访问,方法是在 的文件中添加一行/etc/ssh/sshd_config。添加以下行会很有用:

DenyUsers root

和/或

PermitRootLogin no

使用以下命令让 ssh 服务重新加载你的更改:

sudo service ssh restart

您可以找到有关强化 ssh 服务器的精彩链接这里。

相关内容