在我的 $ sudo lastb 中,我发现了很多错误的登录尝试行(?)。
它们都是针对我可公开访问的服务器的黑客攻击吗?我刚刚注意到我有881仅一天(2 月 24 日)的错误登录尝试次数
查看下面的 $ sudo lastb 命令的输出:
$ sudo lastb
...
...
root ssh:notty 116.31.116.33 Fri Feb 24 18:51 - 18:51 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:49 - 18:49 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:49 - 18:49 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:49 - 18:49 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:48 - 18:48 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:48 - 18:48 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:48 - 18:48 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:47 - 18:47 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:47 - 18:47 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:47 - 18:47 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:46 - 18:46 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:46 - 18:46 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:46 - 18:46 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:45 - 18:45 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:44 - 18:44 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:44 - 18:44 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:43 - 18:43 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:43 - 18:43 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:43 - 18:43 (00:00)
root ssh:notty 179.85.126.212 Fri Feb 24 17:15 - 17:15 (00:00)
root ssh:notty 179.85.126.212 Fri Feb 24 17:15 - 17:15 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
toor ssh:notty 185.144.157.8 Fri Feb 24 15:37 - 15:37 (00:00)
toor ssh:notty 185.144.157.8 Fri Feb 24 15:36 - 15:36 (00:00)
btmp begins Fri Feb 24 15:36:58 2017
[woogon@cafe24 ~]$ sudo lastb | wc -l
9743
[woogon@cafe24 ~]$ sudo lastb | grep Feb 24 | wc -l
grep: 24: No such file or directory
0
[woogon@cafe24 ~]$ sudo lastb | grep "Feb 24" | wc -l
881
我应该采取什么防御措施来应对这种情况?
提前谢谢你
。Woogon
答案1
我认为这里的标准程序是
A)禁用root ssh
和
B)禁用密码验证 - 使用公钥代替
要禁用 root ssh 登录,请在 /etc/ssh/sshd_config 中设置 PermitRootLogin no
有很多教程可以引导您设置 ssh 的公钥认证,但归结为:
- 使用 ssh-keygen 在客户端计算机上创建公钥/私钥对
- 使用 ssh-copy-id 将公钥复制到服务器
- 在 /etch/ssh/sshd_config (在你的服务器上)中设置 PubkeyAuthentication yes
- 使用公钥登录以验证它是否有效(如果不检查 /.ssh/ 和 /.ssh/authorized_keys 的文件权限,它们通常会给我带来麻烦)
- 在 /etc/ssh/sshd_config 中设置 PasswordAuthentication no
答案2
使用 TCP Wrapper 文件 /etc/hosts.allow 和 /etc/hosts.deny 将 ssh 连接限制到特定的 FQDN 或 IP 地址。
这些文件的用途在此处描述。
https://www.lifewire.com/hostsdeny-linux-command-4094617
请确保在 /etc/hosts.allow 中包含您的本地私有网络 IP 地址范围,以便您可以继续不间断地连接。
允许 192.168.0.* 块中的所有 IP 地址的示例为:
ALL: 192.168.0.
注意结尾的点。这是允许该范围内所有地址的语法。