Ubuntu

Ubuntu VPS 機器上的闖入嘗試

  • July 11, 2011

可能的重複:

每天進行數百次闖入嘗試是否正常?

如果我發現有人暴力破解我的伺服器密碼,我該怎麼辦?

我有一個 Ubuntu 10.04 VPS 機器。它已經安裝了幾天,只執行了 ssh、postfix/dovecot。該伺服器旨在用於我的個人需求,例如電子郵件和 RoR 開發。我/var/log/auth.log的已經大約 300k 並且充滿了這樣的消息:

Jul  4 03:18:36 artemis sshd[360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.96.201.81  user=root
Jul  4 03:18:38 artemis sshd[360]: Failed password for root from 66.96.201.81 port 58040 ssh2
Jul  4 03:18:39 artemis sshd[362]: reverse mapping checking getaddrinfo for 66-96-201-81.static.hostnoc.net [66.96.201.81] failed - POSSIBLE BREAK-IN ATTEMPT!

還有其他隨機使用者,他們嘗試使用這些使用者登錄,例如user, testftp, ftp, samba, postgres, admin,alex等等。我隨機對一些IP地址進行了whois,它們似乎屬於中國、烏拉圭、厄瓜多爾和其他一些國家。這種蠻力闖入嘗試有多普遍?我需要擔心嗎?我應該安裝防火牆還是採取任何其他安全措施?

你不應該擔心這些嘗試,因為它們很常見,你可以(並且必須恕我直言)做些什麼來降低你的伺服器被入侵的風險如下:

  • 使用您的防火牆,如果可以的話,您應該只允許您的 IP 連接到非公共服務,無論它們是什麼。無論如何,設置您的防火牆以阻止最常見的流氓/奇怪數據包(ICMP 重定向、虛假 IP 範圍……)並僅允許在您需要的埠和協議上進行連接。
  • 使用 ssh 對您有利,使用 ssh 密鑰作為您唯一的身份驗證方法並使用密碼保護您的私鑰,這樣字典/暴力攻擊就不再有機會了。如果您不能使用密鑰,請使用帶有“地址”的“匹配”指令來進一步限制可以從公共 IP 登錄的帳戶。
  • 看看fail2ban,這個工具可以動態改變防火牆規則來阻止來自同一個IP的太多嘗試,當心你可能是你自己的受害者:)

關於fail2ban的更多資訊在這裡

引用自:https://serverfault.com/questions/286814