私は最近、rootでかなりの数のssh試行を取得していたため、ubunutuサーバーでsshを介したrootログインを無効にしました。これを行うには、/etc/ssh/sshd_config
ファイルを編集してsshを再起動します。
しかし、最近ログファイルを再度確認したところ、rootを使用した他の多くの試みがありましたか? -ログメッセージは「パスワードに失敗しました」でした-しかし、これが機能した場合、最初のハードルで失敗せず、「失敗しました-rootログインは許可されていません」などと表示されるのはなぜですか?
これを正しく構成したかどうかを確認する方法はありますか?
PermitRootLoginをnoに設定したと仮定します。この場合、SSHは引き続き接続を受け入れますが、rootログインを拒否します。これはログに表示されますが、rootがログインすることはできません。
また、「パスワードなし」オプションを使用して、SSHキーでのみrootログインを許可します。
私はそれを掘り下げていませんが、SSHが接続を受け入れてから認証プロセスをPAMに渡すためだと思われます。
これらの試みをブロックしたい場合、fail2banはこの目的のための人気のあるツールです。
http://www.fail2ban.org/wiki/index.php/Main_Page
個人的には、私はこれらのログアナライザーのファンではありませんが、それらの場所はあります。
設定した場合:
PermitRootLogin no
sshdプロセスを再起動します(/etc/init.d/sshdrestart)。 rootユーザーがログインする機能を無効にする必要があります。/etc/sysconfig/sshdが存在しないことを確認し、いくつかの設定を上書きします。
ルートログイン時のログエラーは次のようになります(RHELベースのディストリビューションの場合は/ var/log/secure内):
Failed password for root from [...]*
ヒントは、ブルートフォース攻撃との戦いを支援するためにsshguardのようなものをインストールすることかもしれません。それについて読む:
http://www.sshguard.net/