3

Каждый раз, когда я получаю доступ к своему VPS через PuTTY, я вижу это:

Last failed login: Fri Oct  6 17:25:58 UTC 2017 from xx.xxx.xxx.xxx on ssh:notty
There were 2381935 failed login attempts since the last successful login.
Last login: Tue Sep 26 09:30:02 2017 from xx.xxx.xxx.xxx

Я не знаю, это связано, но когда я вхожу в систему, загрузка занимает больше времени, на других серверах, которые не получают столько неудачных попыток входа в систему, как этот, время загрузки намного меньше.

Можете ли вы сказать мне, если это много попыток входа в систему влияет на производительность сервера? И есть ли способ, которым я могу защитить от этого? Я имею в виду, мой пароль для серверов вроде как невозможно взломать, но есть ли способ избежать неудачных попыток входа в систему?

Системные характеристики:

  • Название иконы: computer-vm
  • Шасси: вм
  • Виртуализация: KVM
  • Операционная система: CentOS Linux 7 (Core)
  • Название ОС CPE: cpe:/o: centos: centos: 7
  • Ядро: Linux 3.10.0-514.26.2.el7.x86_64
  • Архитектура: x86-64
|источник

2 ответа2

5

Так что, может быть, это гораздо более простое решение.

Информация, которую вы разместили, показывает, что 2 381 935 неудачных попыток входа в систему. Что довольно безумно. Позвольте мне угадать: пользователь, в который вы входите как… root? Что ж, в то время как Fail2Ban является достойным решением для отслеживания нежелательных попыток входа в систему, существует гораздо более простое решение: создайте новую учетную запись с новым именем, не являющимся root , предоставьте этому пользователю права администратора через Sudo, а затем отключите root .

В целом, на любом сервере Linux в 2017 году просто не должно быть активной учетной записи root и ее можно использовать по любой причине. У каждого «сценариста» в мире есть множество скриптов, которые пытаются взломать root аккаунт. И у каждого опытного хакера есть инструменты, которые пытаются взломать root .

Создав новую учетную запись пользователя под каким-нибудь остроумным общим именем, которое вы можете придумать, и отключив root вы мгновенно уменьшите свою поверхность атаки и закроете эту потенциальную точку вторжения практически без усилий.

Некоторые системные администраторы не любят отключать root из-за лени, но если вы каким-то образом не ограничиваете доступ к серверу какими-либо другими средствами, такими как настройки брандмауэра на основе отфильтрованных IP-адресов или MAC-адресов и т.д., Вы открываете свой сервер. за риск.

|источник
3

В дополнение к fail2ban (как это было предложено другими), я бы настроил сервер OpenVPN на VPS, а затем клиента в вашей системе, а затем использовал клиента OpenVPN на ваших клиентах (-ах) - и использовал брандмауэр для ограничения количества входящих соединений. из VPN. Это поможет, добавив дополнительный уровень защиты / шифрования и скрывая SSH.

Если люди пытаются и не могут подключиться, это может потратить значительные ресурсы, но это может быть что-то другое (ненастроенный обратный DNS, переподписанный диск). Посмотрите на время вверх и вверх, чтобы увидеть, что замедляет ход событий.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .