1

Сегодня я проверил auth.log моей малины (частный IP-адрес в моей домашней сети за wrt54gl). Удивительно, но я увидел много строк "Failed password for root from".

IP-адрес SRC можно найти в списках злоумышленников, использующих грубую силу SSH.

Когда я подключаюсь к своей RasPberry через Интернет, я обычно устанавливаю ssh-соединение с публичным IP-адресом моего маршрутизатора и подключаюсь к частному адресу RasPberry.

Так как же кто-то может подключиться напрямую к этому устройству, которое имеет только частный адрес?

eth0      Link encap:Ethernet  Hardware Adresse b8:27:eb:e5:7a:5b
      inet Adresse:192.168.0.5  Bcast:192.168.0.255  Maske:255.255.255.0
      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
      RX packets:2774178 errors:0 dropped:933 overruns:0 frame:0
      TX packets:5544091 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl▒nge:1000
      RX bytes:457172801 (435.9 MiB)  TX bytes:875979564 (835.3 MiB)

lo        Link encap:Lokale Schleife
      inet Adresse:127.0.0.1  Maske:255.0.0.0
      UP LOOPBACK RUNNING  MTU:65536  Metrik:1
      RX packets:2695 errors:0 dropped:0 overruns:0 frame:0
      TX packets:2695 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl▒nge:0
      RX bytes:725188 (708.1 KiB)  TX bytes:725188 (708.1 KiB)


Jun 15 13:42:12 rpi sshd[15608]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.31  user=root

1 ответ1

2

Так же, как вы делаете это, предполагая, что вы используете переадресацию портов. Если вы попытаетесь войти в свой raspberry с удаленного компьютера, возможно даже с использованием ложного пароля, вы должны увидеть очень похожую строку в auth.log.

Конечно, вы будете подключаться к вашему общедоступному IP-адресу, который назначен внешнему интерфейсу маршрутизатора. Я предполагаю, что вы установили переадресацию портов в маршрутизаторе, так что любое соединение с конкретным портом на вашем общедоступном IP-адресе будет перенаправлено на Raspberry. В этом конкретном случае я предполагаю, что вы перенаправили порт 22 в маршрутизаторе для перенаправления на порт 22 вашей малины.

Путь парня за другим IP-адресом такой же и, вероятно, как

  • сканирование интернета на хосты с открытыми портами
  • работает инструмент, который
    • подключается к этому хосту и порту
    • пытается войти через списки паролей

Или, может быть, он делает это вручную и запускает свой ssh-клиент, подключается к вашему общедоступному IP-адресу, порт 22, который будет перенаправлен на raspberry, и просто пытается использовать общие комбинации имени пользователя и пароля (pi/raspberry, root/root, .. .).

Чтобы избежать этого вы можете

  • настроить sshd для использования аутентификации с закрытым / открытым ключом, а не по паролю
  • попросите маршрутизатор переадресовать другой порт (например, 2222) на порт 22 малины. Обязательно настройте свой (удаленный) ssh-клиент так, чтобы вы все еще могли подключиться.
  • установите knockd и откройте порт, прежде чем использовать его
  • установить fail2ban для блокировки неавторизованных IP-адресов

(для немного более подробного обзора упомянутых методов, пожалуйста, также смотрите здесь.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .