Подбор большого количества неудачных аутентификаций для разных аккаунтов.
Мой сервер получает много разных неудачных попыток аутентификации для разных учетных записей. Самый распространенный (который я видел) или root учетная запись.
С тех пор я включил Fail2Ban и провел несколько проверок руткитов / вредоносных программ, чтобы убедиться, что я не был взломан. Есть ли что-нибудь еще, что я должен сделать? У меня только три учетные записи включены, и доступ по SSH только для двух. У меня есть полный 48-часовой запрет на всех, кто делает более шести неудачных попыток входа по SSH. У меня не включен FTP.
3 ответа
Если вы используете пары открытого и закрытого ключей, вам практически не о чем беспокоиться, при попытках входа в систему методом грубой силы. если у вас отключена аутентификация по паролю, то есть.
Вы можете запустить ssh на нестандартный порт вроде 2222 но в скором времени вы также начнете видеть попытки на этих портах, так как многие ботнеты также запускают сканеры портов.
другая вещь, которую вы можете посмотреть в настройке, это стук порта, который является болью, но блокирует ssh только для людей, выдающих правильный "стук", http://en.wikipedia.org/wiki/Port_knocking
Отключите аутентификацию по паролю и входы root, добавив / изменив следующие строки в файле sshd_config (обычно он находится в / etc / ssh / sshd_config)
PasswordAuthentication no
PermitRootLogin no
То, что вы видите, нормально - это происходит в открытом Интернете уже много лет и никогда не прекратится.
Вам нужно будет выяснить авторизацию с открытым ключом перед отключением паролей, если вы этого еще не сделали.
Я получаю их все время, они никогда не кончаются. Лучше всего просто убедиться, что вы не используете общие учетные записи, которые имеют общие пароли.
Я также использую fail2ban, и он работал нормально. (Но в большинстве случаев меня поражают разные хосты, так что это не сильно помогает)