вывод команды “lastb”
В моем $ sudo lastb, я нашел столько строк плохих попыток входа в систему (?).
Они все взламывают попытки против моего публично доступного сервера? Я просто заметил, что имел 881 раз плохих попыток входа в систему в течение только одного дня (24 февраля)
Посмотрите на мой вывод $ sudo lastb команда ниже:
$ sudo lastb
...
...
root ssh:notty 116.31.116.33 Fri Feb 24 18:51 - 18:51 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:49 - 18:49 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:49 - 18:49 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:49 - 18:49 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:48 - 18:48 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:48 - 18:48 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:48 - 18:48 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:47 - 18:47 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:47 - 18:47 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:47 - 18:47 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:46 - 18:46 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:46 - 18:46 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:46 - 18:46 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:45 - 18:45 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:44 - 18:44 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:44 - 18:44 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:43 - 18:43 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:43 - 18:43 (00:00)
root ssh:notty 116.31.116.33 Fri Feb 24 18:43 - 18:43 (00:00)
root ssh:notty 179.85.126.212 Fri Feb 24 17:15 - 17:15 (00:00)
root ssh:notty 179.85.126.212 Fri Feb 24 17:15 - 17:15 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
root ssh:notty 121.139.93.109 Fri Feb 24 16:16 - 16:16 (00:00)
toor ssh:notty 185.144.157.8 Fri Feb 24 15:37 - 15:37 (00:00)
toor ssh:notty 185.144.157.8 Fri Feb 24 15:36 - 15:36 (00:00)
btmp begins Fri Feb 24 15:36:58 2017
[woogon@cafe24 ~]$ sudo lastb | wc -l
9743
[woogon@cafe24 ~]$ sudo lastb | grep Feb 24 | wc -l
grep: 24: No such file or directory
0
[woogon@cafe24 ~]$ sudo lastb | grep "Feb 24" | wc -l
881
Каковы были бы мои защитные действия к этому?
Заранее спасибо.
Woogon
2 ответа
Я думаю, что стандартные процедуры здесь были бы
, А Отключают корневой ssh
и
, B) Отключают аутентификацию по паролю - используют открытый ключ вместо этого
Для отключения корня ssh вход в систему, в наборе/etc/ssh/sshd_config PermitRootLogin никакой
существует много учебных руководств, это обойдет Вас посредством установки аутентификации с открытым ключом для ssh, но это сводится к:
- Создают пару "открытый/закрытый ключ" на Вашей клиентской машине с Копией ssh-keygen
- , открытый ключ к серверу с ssh-copy-id
- В/etch/ssh/sshd_config (на Вашем сервере) установил PubkeyAuthentication да
- , Входят в систему с помощью открытого ключа, чтобы проверить, что это работало (если не проверяют полномочия файла на/.ssh/и/.ssh/authorized_keys, они обычно дают мне проблему)
- В наборе/etc/ssh/sshd_config PasswordAuthentication никакой
Используйте файлы оболочки tcp/etc/hosts.allow и/etc/hosts.deny для ограничения соединений SSH определенным FQDN или IP-адресами.
Использование этих файлов описано здесь.
https://www.lifewire.com/hostsdeny-linux-command-4094617
Обязательно включайте Ваш локальный диапазон IP-адреса частной сети в/etc/hosts.allow так, чтобы можно было продолжить соединяться непрерывный.
Пример для разрешения всех IP-адресов в 192.168.0.* блок был бы:
ALL: 192.168.0.
Заметьте запаздывающую точку. Это - синтаксис для разрешения всех адресов в том диапазоне.