2

Я заметил, что моя скорость интернета замедлилась до ползания. Я перезапустил свой домашний сервер Ubuntu, и скорость сразу увеличилась. Поэтому я проверил активные сетевые соединения с помощью netstat -tupn и обнаружил подозрительное соединение от неизвестного пользователя:

Я проследил IP-адрес, и он приходил от китайской телекоммуникационной компании, сигнал тревоги очереди.

Таким образом, мой следующий порт захода состоял в том, чтобы проверить попытки входа в систему через ssh на моем сервере, и я заметил, что получаю множество неудачных попыток ввода пароля:


(Нажмите на изображение, чтобы увеличить)

Следующий шаг - я просто отключил переадресацию портов для SSH на своем маршрутизаторе - что-то, что я уверен, в любом случае, довольно безопасно. Попытки подключения немедленно прекратились.

Правильно ли я считаю, что кто-то зверски заставлял мой сервер? Как я могу предотвратить что-то подобное снова? Я хотел бы снова включить переадресацию портов для ssh в какой-то момент, но не в том случае, если это означает, что меня снова засыпают попытки входа в систему.

У меня все еще включена переадресация порта smb на мой сервер. Это безопасно?

Я новичок в этом деле. Я только настроил этот сервер (мой первый) в начале этого года для совместной работы над проектом, поэтому любые рекомендации от гуру серверов здесь будут высоко оценены. :)

|источник

4 ответа4

8

Зачем? Потому что у вас есть система в интернете.

Несколько простых шагов, которые вы можете предпринять для борьбы с этим:

  1. Отключите аутентификацию по паролю и используйте ключ аутентификации вместо этого.
  2. Установите правила межсетевого экрана, чтобы принимать подключения SSH только с IP-адресов, с которых вы будете подключаться.
  3. Установите что-то вроде fail2ban, который может просматривать ваши журналы SSH на предмет попыток перебора и автоматически отключать защищающие IP-адреса.

У меня все еще включена переадресация порта smb на мой сервер. Это безопасно?

Нет, очень нет

SMB не должен быть доступен через Интернет. Полная остановка. Если вам нужен удаленный доступ к общим ресурсам SMB, сделайте это через VPN-туннель.

|источник
1

Я согласен с @ Richard-Boonen. У меня была настройка переадресации порта ssh в течение года, и у меня не было никаких признаков того, что кто-то пытается перебрать систему (так как порт по умолчанию 22 не включен). Конечно, кто-то может найти этот порт и затем атаковать, но вероятность атаки на порт не по умолчанию, безусловно, меньше, чем порт по умолчанию.

Ниже приведены шаги для изменения файла конфигурации

Отредактируйте файл конфигурации:

1) Откройте терминал (используйте нано или любой другой текстовый редактор по вашему выбору)

sudo nano /etc/ssh/sshd_config

Ищите следующее -

# What ports, IPs and protocols we listen for
Port 22 # ==> change 22 to another port (make sure that it does not conflict with applications that use specific ports)
|источник
1

Вполне возможно, что атака грубой силой шла полным ходом, хотя, если это так, она была не очень эффективной. Вполне возможно, что кто-то допустил ошибку в скрипте где-то, чтобы попасть по неверному IP-адресу. (Я говорю это потому, что все запросы приходят с одного IP-адреса, и они не приходят так быстро).

Как уже говорили другие, выставление SMB напрямую в Интернет требует взлома - используйте VPN или брандмауэр для определенных, известных статических IP-адресов, с которыми вам нужно общаться. (Даже брандмауэр не очень хорошая идея, потому что люди все еще могут прослушивать данные в полете)

|источник
0

Ответ @EEAA, очевидно, охватывает все важное, я хотел бы добавить, что кроме того, вы также можете переместить свой порт ssh на нестандартный порт, что еще больше снижает количество атак, по крайней мере.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .