Я просто сделал 'netstat-a' на моей машине FreeBSD. Я обнаружил следующее:
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 40 turban.ssh host90.embarqser.60230 ESTABLISHED
tcp4 0 0 turban.ssh host90.embarqser.59985 LAST_ACK
tcp4 0 0 turban.ssh host90.embarqser.47224 TIME_WAIT
tcp4 0 0 turban.ssh host90.embarqser.9304 LAST_ACK
Мог быть кто-то внедряющий мою машину? Мое имя хоста является 'тюрбаном', как Вы видите. Я являюсь действительно 'новым' о безопасности системы. Кто-то мог просветить меня?
От /var/log/auth.log
, много ошибок как:
4 мая 20:07:10 тюрбана sshd [47801]: Отказавшие keyboard-interactive/pam для недействительного пользователя копируют от 76.7.43.90 портов 11 831 ssh2
4 мая 20:07:13 тюрбана sshd [47804]: ошибка: PAM: ошибка аутентификации для мусорного ведра от 76.7.43.90...
Взгляд на /var/auth.log для получения дополнительной информации.
Если кто-то пытается получить доступ к Вашей машине, зарегистрирован этот файл.
Пример из моего auth.log:
24 апреля 13:53:16 моего-сервера sshd [8107]: Неудавшийся пароль для недействительного пользователя db2 от 123.123.123.123 портов 59 167 ssh2
Для наблюдения IP связанных (соединения SSH), пользователи вводят это:
netstat -atn | egrep '(:22)' | egrep -v '(:::|0.0.0.0)' | awk '{print substr($5,0,length($5)-5)}' | sort | uniq -c
Это покажет Вам IP и количество соединения/IP
Я не волновался бы слишком много об этом определенном исследовании. Возможно, кто-то действительно пробовал к "сканированию портов удара порта" на Вашем SSH-порте (например, со сканером словаря), но не успешно выполнялся, так как у Вас, надо надеяться, есть надлежащий пароль или подлинный ключ только.
Для прояснения знания читайте, это сообщение в блоге Улучшают безопасность Удаленного доступа SSH для наблюдения то, что еще можно сделать, особенно часть "Позволяет Только Определенному Пользователю Входить в систему SSH". И не позволяйте корневые логины через SSH!
Короткий ответ - то, что кто-то пытается ворваться в Вашу систему, скорее всего, через вариацию на типичную атаку с подбором по словарю (т.е. путем попытки общих комбинаций имени пользователя/пароля, вместо того, чтобы просто случайным образом предположить).
В дополнение к превосходному совету от @Henk (я создаю определенную группу, обычно sshusers
, и только разрешите пользователям в той группе входить в систему, например), я предложил бы установить Fail2ban в Вашей системе с созданной тюрьмой SSH. Это поднимет трудность атаки перебором против Вашего сервера к области почти невозможности, так как взломщики найдут себя внезапно отключенными сроком на время, когда они попробуют; объедините это с практическим руководством по имени Fail2ban, контролирующий Fail2ban для создания поднятого ответа на нападение (набор шахты с 10-минутным запретом по умолчанию первоначально, и затем целая неделя, если они являются персистентными), и можно просто прекратить волноваться в целом (если у Вас есть по крайней мере соответственно сильные пароли; используйте pubkeys вместо этого, и Вы почти неукротимы!).