Ssh

SSHD:日誌文件中“連接關閉…”和“從…斷開連接”之間的區別

  • February 15, 2022

我的 Ubuntu 伺服器上的 sshd 服務不斷受到各種 IP 和使用者 ID 的攻擊。

根據/var/log/auth.log文件,來自未知 id 和 IP 地址的失敗分為三種不同類型:

  • Disconnected from invalid user...
  • Connection closed by invalid user...
  • Connection closed by xxx.xxx.xxx.xxx

三者之間有什麼區別?這些是否表明成功(未經授權)登錄?尤其是最後一個……

假設所有這些都是失敗的嘗試,基於我已將 SSH 伺服器配置為需要來自非 LAN IP 的 pubkey 並將登錄限制為僅一個非 root 使用者 ID。

但是,事實上,我不知道如何驗證這些安全預防措施是否設置正確,如果我的 pub-key 沒有被洩露,或者我的伺服器密碼驗證機制沒有被洩露。所以我不能肯定地說這些都是失敗的嘗試。

我試圖用它fail2ban來阻止來自某些 IP 的重複攻擊,但這是一個重大失敗。首先,不超過 24 小時後,攻擊者是否切換到通過數百個唯一 IP 地址進行輪換。其次(更令人擔憂)fail2ban似乎不承認導致Connection closed by xxx.xxx.xxx.xxx.

消息:

Disconnected from invalid user
Connection closed by invalid user

兩者都表示使用您伺服器上不存在的使用者名的登錄嘗試失敗。差異只是連接被拆除方式的一個微不足道的細節。

使用現有使用者名的失敗嘗試將被記錄為:

Connection closed by authenticating user 

成功登錄將記錄為:

Accepted publickey for

消息:

Connection closed by <ipaddress>

(沒有提及使用者)表示連接到您的伺服器的 ssh 埠,其中沒有嘗試進行身份驗證,即。實際登錄。這些通常是掃描以收集打開的 ssh 埠和他們正在使用的 ssh 伺服器版本,以便找到具有已知漏洞的伺服器。由於重複這樣的嘗試不會增加風險,因此fail2ban阻止它們沒有多大意義。

引用自:https://serverfault.com/questions/1093505