Я думал, что это было бы хорошим местом, чтобы задать этот вопрос:

Я хочу открыть свой SSH-порт по умолчанию (включить удаленное управление в настройках системы и переадресовывать порт моего маршрутизатора), чтобы узнать, сколько попыток несанкционированного доступа я получаю. Делая это в качестве эксперимента, я просто хотел несколько советов, прежде чем я сделаю это.

В OSX, если я включаю удаленный вход в систему, но у меня нет пользователей в «разрешенном доступе: только для этих пользователей», делает ли это мою систему непроницаемой, независимо от того, как сильно кто-то пытается заставить (или грубо) проникнуть в нее?

Есть ли какие-либо другие меры предосторожности, которые вы бы порекомендовали мне принять?

Кроме того, недавно в OSX Mountain Lion журналы вторжений были объединены с файлом system.log. Когда я смотрю на это через консоль, все это теряется в куче других не относящихся к делу данных, которые я должен просеять. Есть ли способ отображать только те типы журналов, которые я ищу?

3 ответа3

2

В OSX, если я включаю удаленный вход в систему, но у меня нет пользователей в «разрешенном доступе: только для этих пользователей», делает ли это мою систему непроницаемой, независимо от того, как сильно кто-то пытается заставить (или грубо) проникнуть в нее?

Если для параметра "Разрешить доступ для" установлено значение «Только эти пользователи:», а список пользователей пуст, то никто не сможет войти в систему с помощью ssh .

Кроме того, недавно в OSX Mountain Lion журналы вторжений были объединены с файлом system.log. Когда я смотрю на это через консоль, все это теряется в куче других не относящихся к делу данных, которые я должен просеять. Есть ли способ отображать только те типы журналов, которые я ищу?

Приложение "Консоль" позволяет просматривать системный журнал и фильтровать его по произвольным строкам (элемент управления фильтром находится в правом верхнем углу окна консоли). Поэтому, если вы отфильтруете его по sshd , вы увидите только сообщения от (или упоминания) sshd .

1

То, что вы хотите настроить - это honeypot, см. Http://en.wikipedia.org/wiki/Honeypot_(computing). Я бы не стал делать это с настоящим демоном SSH

0

Если бы я собирался сделать это, я бы подумал о покупке Raspberry Pi для этого или, по крайней мере, с помощью виртуальной машины или докера. И сначала установите Fail2ban .

Мой опыт работы с одной виртуальной машиной в облаке заключался в том, что в течение нескольких минут автоматические атаки выполнялись на порт 22 непрерывно днем и ночью. Это убедило меня разобраться с fail2ban.

Дома, однако, у меня не было этого. Может быть, мой провайдер отфильтровывает это?

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .