Ssh

如何保護 Mac 伺服器(日誌中的“可能的闖入嘗試”)

  • June 28, 2010

我經常在我的/var/log/secure.log

Nov  5 10:50:49 www sshd[775]: reverse mapping checking getaddrinfo for 124.107.32.54.pldt.net [124.107.32.54] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov  5 10:50:49 www sshd[775]: Invalid user weber from 124.107.32.54
Nov  5 10:51:18 www sshd[802]: Invalid user weblogic from 66.178.48.196
Nov  5 10:51:56 www sshd[826]: reverse mapping checking getaddrinfo for gw-baneasa-v422.comtelnetworks.eu [193.230.208.98] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov  5 10:51:56 www sshd[826]: Invalid user webmail from 193.230.208.98
Nov  5 10:52:22 www sshd[860]: Invalid user webmail from 150.214.102.129
Nov  5 10:53:29 www sshd[905]: Invalid user webmaster from 195.205.203.6
Nov  5 10:53:57 www sshd[928]: Invalid user webmaster from 86.101.90.21
Nov  5 10:54:29 www sshd[943]: Invalid user webservd from 151.118.130.225

我已經禁用了所有形式的 SSH 身份驗證,除了publickey所以我認為他們不會找到方法。但是我應該更擔心這個嗎?

  • 有什麼方法可以防止這種情況發生,還是我的網站剛剛變得流行?
  • 我可以在伺服器上設置防火牆以阻止失敗的登錄嘗試嗎?攻擊似乎是分佈式的;每次嘗試都來自不同的 IP。

移動 SSH 埠的一個不錯的替代方法是使用Blockhosts 之類的東西。它是一個 Python 腳本,可以掃描您的日誌文件(通常是 /var/log/auth.log)以查找此類內容,並將動態條目放入 /etc/hosts.allow 以阻止人們進行暴力掃描。我使用它對我的 SSH 和 vsftpd 安裝效果很好,可以在連續 5 個錯誤密碼後將人員列入黑名單。

正如已經指出的那樣,它只是一個自動掃描,它嘗試對一個眾所周知的(當然是攻擊者)類型的目標進行字典附加。

作為一種降噪技術,您可以更改伺服器上的 SSHD 埠,您可以按照我對 SF 上的另一個問題的說明以非常簡單的方式實現此目標。

注意:這種方法與真正的安全性無關(因為每個人都知道通過默默無聞的安全性根本不是安全性),但可以幫助阻止腳本小子,您的系統日誌會感謝您:)

編輯

  • 可以使用實時公共 SSH 蠻力黑名單(例如**sshbl.org** )來實現黑名單方法的替代實現。
  • 本地 BL 方法的替代方案是良好的**BFD(蠻力檢測)**

引用自:https://serverfault.com/questions/81851