В /var/log/auth.log на моем сервере, подключенном к Интернету, у меня есть следующее:

Jul  6 10:04:17 ubuntu sshd[28207]: Connection from 221.111.75.119 port 48921
Jul  6 10:04:19 ubuntu sshd[28207]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=softbank221111075119.bbtec.net  user=root
Jul  6 10:04:20 ubuntu sshd[28207]: Failed password for root from 221.111.75.119 port 48921 ssh2
Jul  7 17:00:40 ubuntu sshd[2185]: Connection from 41.238.117.10 port 4555
Jul  7 17:00:42 ubuntu sshd[2185]: reverse mapping checking getaddrinfo for host-41.238.117.10.tedata.net [41.238.117.10] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul  7 17:00:42 ubuntu sshd[2185]: Failed none for root from 41.238.117.10 port 4555 ssh2

И много других попыток входа в систему с другими портами. Я за маршрутизатором, на котором я включил только ssh-порт по умолчанию (с переадресацией портов) для моего сервера Ubuntu, тогда почему эти порты находятся в auth.log? В маршрутизаторе не включена DMZ.

2 ответа2

1

Это исходные порты, с которых происходит соединение, а не целевой порт ssh.

Пока у вас открыт ssh на стандартном порту (22), вы будете получать подобные виды автоматических атак. Если это вас беспокоит, вы можете переместить ваш ssh-сервер на другой случайный порт (используйте директиву Port в /etc /ssh /sshd_config и отразите изменения на вашем маршрутизаторе).

Вы также можете использовать что-то вроде fail2ban, чтобы автоматически заблокировать их после нескольких неудачных попыток. Но если он исходит от нескольких хостов, как это, похоже, имеет место (вероятно, какая-то атака ботнета), fail2ban не будет таким эффективным.

1

Пуленепробиваемый SSH сервер должен выглядеть так:

  1. Нестандартный порт
  2. Только закрытые ключи для аутентификации
  3. Fail2ban для запрета IP-адресов, которые не проходят аутентификацию, скажем, 5 раз подряд

Спокойной ночи :-)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .