Какие шаги я должен предпринять, чтобы предотвратить эти очевидные попытки взлома? [дубликат]
Я использую сервер Ubuntu 20.04, и когда я смотрю журналы, я постоянно вижу строки таких записей:
Jan 14 23:04:51 dell-server sshd[578861]: Invalid user carlos from 14.232.160.213 port 32832
Jan 14 23:04:51 dell-server sshd[578861]: pam_unix(sshd:auth): check pass; user unknown
Jan 14 23:04:51 dell-server sshd[578861]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=14.232.160.213
Jan 14 23:04:52 dell-server sshd[578861]: Failed password for invalid user carlos from 14.232.160.213 port 32832 ssh2
Jan 14 23:04:54 dell-server sshd[578861]: Received disconnect from 14.232.160.213 port 32832:11: Bye Bye [preauth]
Jan 14 23:04:54 dell-server sshd[578861]: Disconnected from invalid user carlos 14.232.160.213 port 32832 [preauth]
Jan 14 23:05:09 dell-server sshd[579042]: Invalid user admin from 41.221.168.167 port 37492
Jan 14 23:05:09 dell-server sshd[579042]: pam_unix(sshd:auth): check pass; user unknown
Jan 14 23:05:09 dell-server sshd[579042]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=41.221.168.167
Jan 14 23:05:11 dell-server sshd[579042]: Failed password for invalid user admin from 41.221.168.167 port 37492 ssh2
Jan 14 23:05:11 dell-server sshd[579042]: Received disconnect from 41.221.168.167 port 37492:11: Bye Bye [preauth]
Jan 14 23:05:11 dell-server sshd[579042]: Disconnected from invalid user admin 41.221.168.167 port 37492 [preauth]
Это всегда для случайных имен пользователей, которых даже нет в моей системе. Кто-нибудь пытается взломать мой сервер методом грубой силы через SSH?
Есть ли у кого-нибудь предложения, как смягчить эти атаки и автоматически заблокировать используемые IP-адреса?
2 ответа
Да, это плохой парень пытается взломать вашу систему. Те, кто технически не устраивает попытки грубой силы, но они тоже не пожелания.
Pro Совет: Никогда не используйте аутентификацию на основе паролей в системе подключенной к Интернету. Используйте только ключи. Поскольку ключевые ключи не могут быть грубыми принудительными в течение вашей жизни, дальнейшие действия для запрета источников, как правило, ненужно.
Наблюдение: Вы мудретесь, чтобы проверить ваш auth.log. Молодец!
Вот статья, которую я нашел, которая может помочь https://www.techrepublic.com/article/how-to-block-ssh-attacks-on-linux-with-denyhosts/
Хорошие детали: Denyhosts - это программа защиты от вторжений с открытым исходным кодом, основанная на журнале, которая позволяет вам вносить серверы в белый список, которые вы никогда не хотите блокировать, и даже может предупредить вас по электронной почте о любом возможном обнаружении вторжений.
Установка
Установка denyhosts довольно проста. Войдите в Ubuntu Server (или откройте окно терминала) и введите следующую команду:
sudo apt-get install denyhosts -y
Это все, что есть для установки. Конфигурация
Первое, что нужно сделать, это внести в белый список любой компьютер, который вы хотите убедиться, никогда не блокируется. Это имеет решающее значение, поэтому вы не будете случайно заблокированы на допустимом рабочем столе или сервере (не пропускайте его). Чтобы внести компьютер в белый список, введите команду
sudo nano/etc/hosts.allow
В нижней части этого файла добавьте любой компьютер для белого списка, например:
sshd: IP_ADDRESS
Where IP_ADDRESS является адресом для включения в белый список.
Добавьте любое количество адресов, по одному на строку. Таким образом, при включении ряда хостов в белый список эти записи будут выглядеть следующим образом:
sshd: 192,168,1,1 sshd: 192,168,1,10 sshd: 192,168,1,100
Сохраните и закройте этот файл.
Теперь мы настраиваем denyhosts из файла denyhosts.conf. Для этого откройте конфигурационный файл denyhosts с помощью команды
sudo nano/etc/denyhosts.conf
Первое, что нужно настроить (дополнительно) - это ограничения для попыток входа в систему. Вы найдете следующие опции конфигурации: Блокировать каждый хост после нескольких неудачных попыток входа в систему
DENY _ THRESHOLD _ INVALID = 5 Блокировать каждый узел после того, как число неудачных попыток превысит это значение
DENY _ THRESHOLD _ VALID = 10 Блокировать все попытки неудачного входа в систему root после того, как число неудачных попыток превысит это значение valueDENY_THRESHOLD_ROOT = 1 Блокировать каждый хост после числа неудачных попыток входа в систему (для пользователей, обнаруженных в WORK_DIR/restricted-usernames) превышает это значение
DENY _ THRESHOLD _ RESTRICTED = 1
Хотя я не предлагаю изменять эти значения, если у вас есть веская причина, продолжите и отредактируйте их.
Далее необходимо настроить адрес оповещения электронной почты. В том же файле конфигурации найдите строку
ADMIN _ EMAIL =
Настройте адрес электронной почты для получения этих оповещений. По умолчанию denyhosts использует метод локальной доставки SMTP (на порту 25). Если это не подходит, можно настроить следующие параметры (в файле denyhosts.conf) в соответствии с вашими потребностями:
SMTP _ HOST = SMTP_PORT = SMTP_FROM =
После настройки необходимых параметров исходящей почты сохраните и закройте файл.
Перезапустите и активируйте службу denyhosts с помощью команд
sudo systemctl restart denyhosts sudo systemctl enable denyhosts
Просмотр файла журнала
Вне окна, denyhosts logs to/var/log/auth.log. Этот журнал можно просмотреть в режиме реального времени с помощью команды
tail -f/var/log/auth.log