/ var / log 의심스러운 항목

8

재미를 위해 나는 /var/log/auth.log꼬리를 두르고 (꼬리 auth.log) 다음과 같은 많은 것들이있었습니다.

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

IP는 중국에서 온 것 같습니다 ...

iptables 규칙을 추가하여 ip를 차단했으며 이제 사라졌습니다.

이제 다음을 참조하십시오.

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

항목은 무엇이며 위협을 보호하거나 동적으로 보려면 어떻게해야합니까?
나는 한 않습니다 fail2ban설치되어 있어야합니다.

미리 감사드립니다

networking  ssh  security 
사용자
소스
ssh공공 장소 에서 포트를 열어야합니까? 규칙은 무엇에 추가 iptables되었습니까? ssh공공 장소 에 노출되면 포트 스니퍼와 크랙 봇에서 많은 타격을 입을 것입니다. 이는 현재보고있는 항목의 원인 일 수 있습니다.
douggro
서버는 Linode.com에서 호스팅되며 모든 것을 관리, 변경 및 수행하기 위해 즉시 상자에 ssh가 필요하므로 ssh가 필요합니다. 중국의 / 24 주소를 차단하기 위해 iptables 규칙을 추가했습니다. 그러나 나는 더 안전하고 해커에 대해 너무 걱정할 필요가 없습니다.
user2625721
1
로그인 fail2ban실패 에 대해 매우 낮은 임계 값 설정을 사용할 수 있습니다 ( ssh금지 전에 2 번 또는 3 번 실패)-짧은 금지 시간 (10-15 분)으로 크랙 봇을 억제하지만 로그인을 푸는 경우 너무 길지 않은 상태로 둘 수 있습니다. 시도.
douggro

답변:

1

여러 위치에서이 호스트에 액세스해야합니까? 아니면 고정 IP가있는 점프 박스를 사용할 수 있습니까? 이 경우 특정 IP에 대한 SSH 액세스 만 허용하는 iptables 규칙을 설정할 수 있습니다. 이렇게하면 고정 IP를 제외한 모든 사람에게 암시 적으로 거부됩니다.

다른 권장 사항은 비표준 포트에서 수신 대기하고 루트 인증을 비활성화하고 fail2ban을 구성하도록 서비스를 변경하는 것입니다.

엔비
소스
0

sshd 포트를 1000 이상으로 변경하십시오. Fail2ban도 도움이됩니다.

예를 들어 1919 또는 905에서 sshd를 실행하는 일부 서버가 있으며이 중국 IP가 내 서버를 무차별하게하려고합니다.

크리 에프
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.