回复:lastb
“ ssh:notty” / var / log / btmp条目指示通过“ / etc / ssh / sshd_config”中分配的SSH端口号进行的失败登录尝试。
出于安全原因,SSH端口通常将更改为“ 22”以外的数字。因此,在此上下文中,“ ssh”仅表示当前分配的(非22)SSH端口号。
因为应该始终要求成功的SSH证书握手才能进入登录屏幕,所以任何“ ssh:notty”日志条目都可能是由于您自己的失败登录尝试导致的。通常来自错误的用户名。请注意与日志条目关联的IP地址...它可能是您自己的!
“ notty”的意思是“没有tty”。
在设置和使用Linux服务器之前,请学习基本安全性,其工作原理,日志在哪里以及如何解释日志,各种配置文件在哪里以及这些指令的含义以及如何配置IPTables。将登录限制为“静态IP地址”,并限制/限制登录尝试次数:
BASIC SSH配置指令,它限制登录并仅允许来自特定用户和IP地址的登录:
LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
编辑后不要忘记“重新启动” SSH服务。
BASIC IPTables规则仅允许来自特定静态IP地址的SSH连接:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
更改后不要忘记“恢复” IP表。
在LAN或“托管”云环境中,请不要忘记保护“专用”端(网络适配器)。您的敌人通常已经可以访问您的网络并通过后门进入。
如果您处于RackSpace或DigitalOcean等云环境中,并且弄乱了配置并锁定自己,则可以始终通过控制台进行修复。编辑它们之前,请务必先复制配置文件!