/ var / log可疑条目

8

为了好玩,我尾随了/var/log/auth.log(tail auth.log),并且有很多以下内容:

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

该IP地址似乎来自中国...

我添加了iptables规则来阻止ip,现在消失了。

现在看到以下内容:

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

都是条目,我该怎么做才能保护或动态查看威胁。
我已经fail2ban安装好了。

提前致谢

networking  ssh  security 
用户名
source
您需要ssh在公共侧开放港口吗?新增的规则是iptables什么?已经ssh公开曝光侧是要产生大量的从端口嗅探器和crackbots,这可能是你现在所看到的条目事业命中。
douggro 2014年
该服务器托管在Linode.com上,我通过ssh来管理,更改和执行所有操作,因此我现在需要ssh。我添加了一个iptables规则来阻止来自中国的/ 24地址。但是我需要更加安全,不要太担心黑客。
user2625721 2014年
1
fail2ban对于失败的ssh登录,您可以使用非常低的阈值设置-禁止之前有2或3次失败-禁止时间较短(10-15分钟),以阻止crackbot,但是如果您冒充登录名,也不要太长以至于无法锁定尝试。
douggro 2014年

Answers:

1

您是否需要从多个位置访问此主机?还是可以使用具有静态IP的Jumpbox?在这种情况下,您可以设置iptables规则,该规则仅允许SSH访问特定IP。这将使您隐式拒绝除静态IP之外的任何人。

其他建议是将服务更改为在非标准端口上侦听,禁用root身份验证和配置fail2ban。

Enefbee
source
0

尝试将sshd端口更改为1000+。Fail2ban也有帮助。

例如,我有一些在1919或905上运行sshd的服务器,而我几乎没有得到这些试图对我的服务器进行暴力破解的中文IP。

克里夫
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.