Ubuntu
Ubuntu VPS 機器上的闖入嘗試
可能的重複:
我有一個 Ubuntu 10.04 VPS 機器。它已經安裝了幾天,只執行了 ssh、postfix/dovecot。該伺服器旨在用於我的個人需求,例如電子郵件和 RoR 開發。我
/var/log/auth.log
的已經大約 300k 並且充滿了這樣的消息:Jul 4 03:18:36 artemis sshd[360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.96.201.81 user=root Jul 4 03:18:38 artemis sshd[360]: Failed password for root from 66.96.201.81 port 58040 ssh2 Jul 4 03:18:39 artemis sshd[362]: reverse mapping checking getaddrinfo for 66-96-201-81.static.hostnoc.net [66.96.201.81] failed - POSSIBLE BREAK-IN ATTEMPT!
還有其他隨機使用者,他們嘗試使用這些使用者登錄,例如
user
,testftp
,ftp
,samba
,postgres
,admin
,alex
等等。我隨機對一些IP地址進行了whois,它們似乎屬於中國、烏拉圭、厄瓜多爾和其他一些國家。這種蠻力闖入嘗試有多普遍?我需要擔心嗎?我應該安裝防火牆還是採取任何其他安全措施?
你不應該擔心這些嘗試,因為它們很常見,你可以(並且必須恕我直言)做些什麼來降低你的伺服器被入侵的風險如下:
- 使用您的防火牆,如果可以的話,您應該只允許您的 IP 連接到非公共服務,無論它們是什麼。無論如何,設置您的防火牆以阻止最常見的流氓/奇怪數據包(ICMP 重定向、虛假 IP 範圍……)並僅允許在您需要的埠和協議上進行連接。
- 使用 ssh 對您有利,使用 ssh 密鑰作為您唯一的身份驗證方法並使用密碼保護您的私鑰,這樣字典/暴力攻擊就不再有機會了。如果您不能使用密鑰,請使用帶有“地址”的“匹配”指令來進一步限制可以從公共 IP 登錄的帳戶。
- 看看fail2ban,這個工具可以動態改變防火牆規則來阻止來自同一個IP的太多嘗試,當心你可能是你自己的受害者:)
關於fail2ban的更多資訊在這裡