Недавно я и несколько друзей придумали идею приложения. Чтобы облегчить его создание, мы установили LAMP на сервере Ubuntu 12.04. Этот ящик убегает из моего дома. Мы создали 3 учетных записи пользователей. Я все еще новичок в Linux, но у меня есть небольшой опыт использования Ubuntu на моем собственном компьютере.
Сегодня я играл с SSH и просматривал журналы (мне нужно научиться читать эту информацию, чтобы знать, как работает сервер, верно?), И я увидел самую странную вещь.
В /var/log/auth.log и /var/log/auth.log.1 я увидел кучу неудачных попыток входа в систему для «root» и несколько имен пользователей, с которыми я не знаком. Я просмотрел их и, насколько я могу судить, ни один пользователь не прошел аутентификацию, за исключением реальных пользователей в системе. Многие из перечисленных IP-адресов, похоже, из России.
На данный момент этот сервер не содержит ничего, кроме обычного сервера Ubuntu с LAMP, но даже в этом случае с помощью следующей команды:
sudo grep -i fail /var/log/auth.log | wc -l
В результате я получаю 3412. Это кажется чрезмерным для сервера, работающего с 8 апреля. Становится хуже, потому что выполнение указанной выше команды в auth.log.1 возвращает 23075 (!!!!) результатов.
Кажется очевидным, что люди пытаются взломать сервер. Не то чтобы оно содержало что-то ценное, но как только мы начнем работать над приложением, мы не захотим, чтобы наша интеллектуальная собственность была украдена.
Стоит ли мне волноваться? И что я могу с этим поделать?
РЕДАКТИРОВАТЬ:
Я нашел очень полезную информацию здесь , и это позволило мне запустить сценарий, который разбивает и сортирует все недопустимые пароли и недействительных пользователей, которые пытались для входа в систему. Может пригодиться тем, кто попал сюда через Google!
Это происходит много со мной также. Существует много деточек сценария, пробующих атаки перебором против Вашего сервера SSH.
Мое решение до настоящего времени состояло в том, чтобы установить DenyHosts, но кажется, что не будет поддерживаться в 14,04; следующие лучшие решения, кажется, Fail2Ban. Ссылки и больше информации в Пакет denyhosts у Тара Надежного человека Ubuntu удалены: временный или навсегда?
В том ответе, bodhi.zazen указал на эту наиболее рекомендуемую страницу: http://bodhizazen.com/Tutorials/SSH_security