如何保護 Mac 伺服器（日誌中的“可能的闖入嘗試”）

我經常在我的/var/log/secure.log：

Nov  5 10:50:49 www sshd[775]: reverse mapping checking getaddrinfo for 124.107.32.54.pldt.net [124.107.32.54] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov  5 10:50:49 www sshd[775]: Invalid user weber from 124.107.32.54
Nov  5 10:51:18 www sshd[802]: Invalid user weblogic from 66.178.48.196
Nov  5 10:51:56 www sshd[826]: reverse mapping checking getaddrinfo for gw-baneasa-v422.comtelnetworks.eu [193.230.208.98] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov  5 10:51:56 www sshd[826]: Invalid user webmail from 193.230.208.98
Nov  5 10:52:22 www sshd[860]: Invalid user webmail from 150.214.102.129
Nov  5 10:53:29 www sshd[905]: Invalid user webmaster from 195.205.203.6
Nov  5 10:53:57 www sshd[928]: Invalid user webmaster from 86.101.90.21
Nov  5 10:54:29 www sshd[943]: Invalid user webservd from 151.118.130.225

我已經禁用了所有形式的 SSH 身份驗證，除了publickey所以我認為他們不會找到方法。但是我應該更擔心這個嗎？

• 有什麼方法可以防止這種情況發生，還是我的網站剛剛變得流行？
• 我可以在伺服器上設置防火牆以阻止失敗的登錄嘗試嗎？攻擊似乎是分佈式的；每次嘗試都來自不同的 IP。

移動 SSH 埠的一個不錯的替代方法是使用Blockhosts 之類的東西。它是一個 Python 腳本，可以掃描您的日誌文件（通常是 /var/log/auth.log）以查找此類內容，並將動態條目放入 /etc/hosts.allow 以阻止人們進行暴力掃描。我使用它對我的 SSH 和 vsftpd 安裝效果很好，可以在連續 5 個錯誤密碼後將人員列入黑名單。

正如已經指出的那樣，它只是一個自動掃描，它嘗試對一個眾所周知的（當然是攻擊者）類型的目標進行字典附加。

作為一種降噪技術，您可以更改伺服器上的 SSHD 埠，您可以按照我對 SF 上的另一個問題的說明以非常簡單的方式實現此目標。

注意：這種方法與真正的安全性無關（因為每個人都知道通過默默無聞的安全性根本不是安全性），但可以幫助阻止腳本小子，您的系統日誌會感謝您:)

編輯：

• 可以使用實時公共 SSH 蠻力黑名單（例如**sshbl.org** ）來實現黑名單方法的替代實現。
• 本地 BL 方法的替代方案是良好的**BFD（蠻力檢測）**

引用自：https://serverfault.com/questions/81851