“lastb”命令的输出

tag-icon tag-icon login
“lastb”命令的输出

在我的 $ sudo lastb 中,我发现了很多错误的登录尝试行(?)。
它们都是针对我可公开访问的服务器的黑客攻击吗?我刚刚注意到我有881仅一天(2 月 24 日)的错误登录尝试次数
查看下面的 $ sudo lastb 命令的输出:


$ sudo lastb
...
...
root     ssh:notty    116.31.116.33    Fri Feb 24 18:51 - 18:51  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:49 - 18:49  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:49 - 18:49  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:49 - 18:49  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:48 - 18:48  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:48 - 18:48  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:48 - 18:48  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:47 - 18:47  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:47 - 18:47  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:47 - 18:47  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:46 - 18:46  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:46 - 18:46  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:46 - 18:46  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:45 - 18:45  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:44 - 18:44  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:44 - 18:44  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:43 - 18:43  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:43 - 18:43  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:43 - 18:43  (00:00)
root     ssh:notty    179.85.126.212   Fri Feb 24 17:15 - 17:15  (00:00)
root     ssh:notty    179.85.126.212   Fri Feb 24 17:15 - 17:15  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
toor     ssh:notty    185.144.157.8    Fri Feb 24 15:37 - 15:37  (00:00)
toor     ssh:notty    185.144.157.8    Fri Feb 24 15:36 - 15:36  (00:00)

btmp begins Fri Feb 24 15:36:58 2017
[woogon@cafe24 ~]$ sudo lastb | wc -l
9743
[woogon@cafe24 ~]$ sudo lastb | grep Feb 24 | wc -l
grep: 24: No such file or directory
0
[woogon@cafe24 ~]$ sudo lastb | grep "Feb 24" | wc -l
881

我应该采取什么防御措施来应对这种情况?

提前谢谢你
。Woogon

答案1

我认为这里的标准程序是

A)禁用root ssh

B)禁用密码验证 - 使用公钥代替

要禁用 root ssh 登录,请在 /etc/ssh/sshd_config 中设置 PermitRootLogin no

有很多教程可以引导您设置 ssh 的公钥认证,但归结为:

  1. 使用 ssh-keygen 在客户端计算机上创建公钥/私钥对
  2. 使用 ssh-copy-id 将公钥复制到服务器
  3. 在 /etch/ssh/sshd_config (在你的服务器上)中设置 PubkeyAuthentication yes
  4. 使用公钥登录以验证它是否有效(如果不检查 /.ssh/ 和 /.ssh/authorized_keys 的文件权限,它们通常会给我带来麻烦)
  5. 在 /etc/ssh/sshd_config 中设置 PasswordAuthentication no

答案2

使用 TCP Wrapper 文件 /etc/hosts.allow 和 /etc/hosts.deny 将 ssh 连接限制到特定的 FQDN 或 IP 地址。

这些文件的用途在此处描述。

https://www.lifewire.com/hostsdeny-linux-command-4094617

请确保在 /etc/hosts.allow 中包含您的本地私有网络 IP 地址范围,以便您可以继续不间断地连接。

允许 192.168.0.* 块中的所有 IP 地址的示例为:

ALL: 192.168.0.

注意结尾的点。这是允许该范围内所有地址的语法。

相关内容