Ssh
SSHD:日誌文件中“連接關閉…”和“從…斷開連接”之間的區別
我的 Ubuntu 伺服器上的 sshd 服務不斷受到各種 IP 和使用者 ID 的攻擊。
根據
/var/log/auth.log
文件,來自未知 id 和 IP 地址的失敗分為三種不同類型:
Disconnected from invalid user...
Connection closed by invalid user...
Connection closed by xxx.xxx.xxx.xxx
三者之間有什麼區別?這些是否表明成功(未經授權)登錄?尤其是最後一個……
我假設所有這些都是失敗的嘗試,基於我已將 SSH 伺服器配置為需要來自非 LAN IP 的 pubkey 並將登錄限制為僅一個非 root 使用者 ID。
但是,事實上,我不知道如何驗證這些安全預防措施是否設置正確,如果我的 pub-key 沒有被洩露,或者我的伺服器密碼驗證機制沒有被洩露。所以我不能肯定地說這些都是失敗的嘗試。
我試圖用它
fail2ban
來阻止來自某些 IP 的重複攻擊,但這是一個重大失敗。首先,不超過 24 小時後,攻擊者是否切換到通過數百個唯一 IP 地址進行輪換。其次(更令人擔憂)fail2ban
似乎不承認導致Connection closed by xxx.xxx.xxx.xxx
.
消息:
Disconnected from invalid user Connection closed by invalid user
兩者都表示使用您伺服器上不存在的使用者名的登錄嘗試失敗。差異只是連接被拆除方式的一個微不足道的細節。
使用現有使用者名的失敗嘗試將被記錄為:
Connection closed by authenticating user
成功登錄將記錄為:
Accepted publickey for
消息:
Connection closed by <ipaddress>
(沒有提及使用者)表示連接到您的伺服器的 ssh 埠,其中沒有嘗試進行身份驗證,即。實際登錄。這些通常是掃描以收集打開的 ssh 埠和他們正在使用的 ssh 伺服器版本,以便找到具有已知漏洞的伺服器。由於重複這樣的嘗試不會增加風險,因此
fail2ban
阻止它們沒有多大意義。