Потенциальная проблема безопасности SSH?

Question

Я только что сделал 'netstat -a' на моей машине с FreeBSD. Я обнаружил следующее:

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 40 turban.ssh host90.embarqser.60230 ESTABLISHED
tcp4 0 0 turban.ssh host90.embarqser.59985 LAST_ACK
tcp4 0 0 turban.ssh host90.embarqser.47224 TIME_WAIT
tcp4 0 0 turban.ssh host90.embarqser.9304 LAST_ACK

Может ли кто-нибудь вторгаться в мою машину? Как вы видите, мое имя хоста - "тюрбан". Я действительно «новичок» в отношении безопасности системы. Может ли кто-нибудь просветить меня?

Из /var/log/auth.log , много ошибок, таких как:

4 мая 20:07:10 turban sshd [47801]: сбой интерактивной клавиатуры /pam для недопустимого резервного копирования пользователя с порта 76.7.43.90 11831 ssh2

4 мая 20:07:13 turban sshd [47804]: ошибка: PAM: ошибка аутентификации для бина из 76.7.43.90 ...

Answer 1

Посмотрите /var/auth.log для получения дополнительной информации.

Если кто-то пытается получить доступ к вашей машине, то в этот файл заносится логин.

Пример из моего auth.log:

24 апреля, 13:53:16 my-server sshd [8107]: сбой пароля для недопустимого пользователя db2 из порта 123.123.123.123, порт 59167 ssh2

Чтобы увидеть IP подключенных (SSH соединений) пользователей, введите:

netstat -atn | egrep '(:22)' | egrep -v '(:::|0.0.0.0)' | awk '{print substr($5,0,length($5)-5)}' | sort | uniq -c

Это покажет вам IP и номер соединения /IP

Answer 2

Короткий ответ заключается в том, что кто-то пытается проникнуть в вашу систему, скорее всего, путем изменения типичной атаки по словарю (т. Е. Путем использования общих комбинаций имени пользователя и пароля вместо простого случайного угадывания).

В дополнение к отличному совету от @Henk (я создаю определенную группу, обычно sshusers , и разрешаю, например , только пользователям из этой группы вход в систему), я бы предложил установить Fail2ban в вашей системе с настроенной SSH-тюрьмой. Это повысит сложность атаки с использованием грубой силы против вашего сервера в область почти невозможной, поскольку злоумышленники внезапно окажутся отключенными на время, когда они попытаются; в сочетании с практическими рекомендациями под названием Fail2ban для мониторинга Fail2ban создайте повышенную реакцию на атаку (у меня изначально установлен стандартный 10-минутный бан по умолчанию, а затем - целую неделю, если они сохраняются), и вы можете просто перестать беспокоиться (при условии, что у вас есть хотя бы достаточно надежные пароли; используйте вместо этого публичные ключи, и вы почти непобедимы!).

Answer 3

Я бы не стал слишком беспокоиться об этом конкретном открытии. Может быть, кто-то пытался Порт-стук port-scan "на вашем SSH-порту (например, с помощью сканера словаря), но не удалось, так как, надеюсь, у вас есть только правильный пароль или только ключ авторизации.

Чтобы украсить свои знания, прочитайте этот блог. Улучшение безопасности удаленного доступа SSH, чтобы узнать, что еще можно сделать, особенно. часть "Разрешить только конкретному пользователю вход в систему по SSH". И не позволяйте входы root через SSH!

Answer 4

Мои журналы полны русских, американцы пробуют английские имена на моем 22-м порту. Жаль, что я переместил порт SSH на 307, и я использую стук порта на порт 54321, чтобы открыть порт SSH.