/ var / log verdächtige Einträge

8

Zum Spaß habe ich verfolgt /var/log/auth.log(tail auth.log) und es gab viele der folgenden:

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

Die IP scheint aus China zu sein ...

Ich habe die iptables-Regel hinzugefügt, um die IP zu blockieren, und ist jetzt weg.

Jetzt sehen Sie Folgendes:

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

Was sind beide Einträge und was kann ich tun, um Bedrohungen zu schützen oder dynamisch zu sehen?
Ich habe fail2baninstalliert.

Danke im Voraus

networking  ssh  security 
user2625721
quelle
Benötigen Sie den sshHafen auf der öffentlichen Seite geöffnet? Was war die Regel hinzugefügt iptables? Wenn Sie sshder öffentlichen Seite ausgesetzt sind, werden viele Treffer von Port-Sniffern und Crackbots generiert, was möglicherweise die Ursache für die Einträge ist, die Sie jetzt sehen.
Douggro
Der Server wird auf Linode.com gehostet. Ich ssh an die Box, um alles zu verwalten, zu ändern und zu tun, also brauche ich ssh für jetzt. Ich habe eine iptables-Regel hinzugefügt, um die / 24-Adresse aus China zu blockieren. Aber ich muss sicherer sein und mir nicht so viele Sorgen um Hacker machen.
user2625721
1
Sie können eine Einstellung mit sehr niedrigem Schwellenwert fail2banfür fehlgeschlagene sshAnmeldungen verwenden - 2 oder 3 schlagen vor dem Sperren fehl - mit einer kurzen Sperrzeit (10-15 Minuten), um die Crackbots zu entmutigen, aber nicht zu lange, um Sie gesperrt zu lassen, wenn Sie eine Anmeldung starten Versuch.
Douggro

Antworten:

1

Benötigen Sie Zugriff auf diesen Host von mehreren Standorten aus? Oder können Sie eine Jumpbox mit einer statischen IP verwenden? In diesem Fall können Sie eine iptables-Regel festlegen, die nur den SSH-Zugriff auf eine bestimmte IP (s) ermöglicht. Dies gibt Ihnen implizite Verweigerung für alle außer den statischen IPs.

Die anderen Empfehlungen wären, den Dienst so zu ändern, dass er einen nicht standardmäßigen Port überwacht, die Root-Authentifizierung deaktiviert und fail2ban konfiguriert.

Enefbee
quelle
0

Versuchen Sie, Ihren sshd-Port auf 1000+ zu ändern. Fail2ban hilft auch.

Zum Beispiel habe ich einige Server, auf denen sshd auf 1919 oder 905 ausgeführt wird, und ich bekomme kaum diese chinesischen IPs, die versuchen, meine Server zu bruteforce.

Kriev
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.