Цей сервер зламаний або просто спроби входу? Див. Журнал

Хтось може сказати, що це означає? Я спробував команду, як lastbбачити останні входи користувачів, і я бачу деякі дивні входи з Китаю (сервер - ЄС, я в ЄС). Мені було цікаво, чи це можуть бути спроби входу або успішні входи?

Вони, здається, дуже старі, і зазвичай я блокую порт 22 тільки для своїх IP-адрес, я думаю, що у мене був порт відкритий на деякий час, останній журнал - у липні.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)

lastbпоказує лише збої входу в систему . Використовуйте lastдля перегляду успішних входів.

Він показує людей, які намагаються завантажувати або завантажувати вміст. "Notty" частина означає no tty (де tty коротке для телетайпу), що в ці дні означає відсутність монітора або gui, а ssh вказує порт 22, що разом узяті означає щось на зразок scp або rsync.

Тож не хакерські чи вхідні спроби, але неправильні або неправильно введені паролі. Можливо, якийсь вміст знаходився через google, але потрібен пароль, який хтось намагався відгадати.

Насправді, замислившись, вище сказане не вірно. Як може, підозрюваний опитував їх не вдалося здійснити спробу входу через SSH і (як я пропустив перший раз) вони знаходяться через регулярні інтервали 21 або 22 хвилини, що говорить про ступінь автоматизації, але lastbпоказує збої за визначенням, тому ці результати потрібно порівняти, lastщоб побачити, чи були якісь успішні.

Закрийте порт 22. Налаштуйте свій sshd для прослуховування на іншому порту, а також встановіть та запустіть відхилення.

Чому не використовую останній ?? Будь ласка, скористайтеся командою "останній" та знайдіть ips з Китаю чи за межами США.

Також ... людина - це твій друг, людина lasttb

Lastb такий же, як і останній, за винятком того, що він за замовчуванням показує журнал файлу / var / log / btmp, який містить усі неправильні спроби входу.

Так, схоже, спроби входу в систему, оскільки той самий IP використовував кілька імен користувачів для спроби введення. Швидше за все, напад грубої сили.

Щоб вирішити це:

Встановіть Fail2Ban і заблокуйте невдалі спроби входу з -1, це робить їх заборону постійною.

Додайте в'язничний файл для захисту SSH. Створіть новий файл за допомогою редактора Nano або vi, vim

nano /etc/fail2ban/jail.d/sshd.local

До вищевказаного файлу додайте наступні рядки коду.

[sshd]

увімкнено = вірно

порт = ssh

"#" дія = firewallcmd-ipset

logpath =% (sshd_log) s

макретрі = 5

bantime = -1

RE: останнє

Записи "ssh: notty" / var / log / btmp вказують на невдалі спроби входу з номера порту SSH, призначеного в "/ etc / ssh / sshd_config".

З міркувань безпеки порт SSH зазвичай був змінений на номер, відмінний від "22". Отже, "ssh" в цьому контексті означає лише присвоєний на даний момент (не-22) номер порту SSH.

Оскільки для успішного рукостискання сертифіката SSH ДОБРЕ потрібно вимагати доступу до екрана входу, будь-які записи "ssh: notty" можуть бути результатом ваших власних невдалих спроб входу; як правило, від помилкового імені користувача. Зверніть увагу на IP-адресу, пов’язану із записом журналу ... це, мабуть, ваша власна!

"notty" означає "немає tty".

Дізнайтеся про основну безпеку, як вона працює, де знаходяться журнали та як їх інтерпретувати, а також де знаходяться різні конфігураційні файли та що означають директиви та як налаштувати IPTables, перш ніж налаштовувати та використовувати сервер Linux. Обмежте вхід на "статичну IP-адресу" та спроби входу з обмеженням / рестрикгом:

BASIC директиви конфігурації SSH, які обмежують вхід і дозволяють входити лише певні користувачі та IP-адреси:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Не забувайте після редагування "перезапустити" службу SSH.

ОСНОВНІ правила IPTables, які дозволяють з'єднання SSH лише з певної статичної IP-адреси:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Не забудьте "відновити" таблиці IP після змін.

У локальній мережі або у "розміщеному" хмарному середовищі не забудьте закріпити "приватну" сторону (мережевий адаптер). Ваші вороги часто вже мають доступ до вашої мережі і заходять через задню двері.

Якщо ви перебуваєте у хмарному середовищі, наприклад, RackSpace чи DigitalOcean, і ви зіпсуєте конфігурації та заблокуєте себе, ви завжди можете зайти через консоль і виправити це. ЗАВЖДИ Зробіть КОПІЇ КОНФІГАЦІЙНИХ ФАЙЛІВ ДО ПЕРЕДМЕНТУВАННЯ ЇХ !!!