sshdログでの不審なパスワードログイン
私はWindows仮想ボックスの下で実行されているLinuxサーバーを持っています。ログインにはsshとpublickeyを使用し、ファイル転送にはlftpのsftp機能を使用します。これもpublickeyを使用します。
今日、ログファイルを確認すると、非常に混乱することがあります。
11月28日21:39:06ソフトサーバーsshd [11933]:10.0.2.2ポート50590 ssh2からmyusernameの公開鍵を受け入れました 11月28日21:39:06ソフトサーバーsshd [11933]:pam_unix_session( sshd:session):ユーザーmyusernameに対して(uid = 0)によって開かれたセッション
11月28日21:39:25ソフトサーバーsshd [11946]:10.0.2.2ポート13494 ssh2からmyusernameのパスワードを受け入れました
11月28日21:39:25ソフトサーバーsshd [11946]:pam_unix_session(sshd:session):ユーザーmyusernameに対して(uid = 0)によってセッションが開かれました
11月28日21:39:25ソフトサーバーsshd [11948]:ユーザーmyusernameによるsftpのサブシステムリクエスト
11月28日21:40:16ソフトサーバーsshd [11935]:10.0.2.2からの切断を受信しました:11:ユーザーによって切断されました
11月28日21:40:16ソフトサーバーsshd [11933]:pam_unix_session(sshd:session):ユーザーmyusernameのセッションが閉じられました
突然パスワードを使用してログインするにはどうすればよいですか?私自身の操作でこの動作が発生する可能性はありますか?
まあ、それはあなたのIPアドレスからの合法的なsftp-via-ssh接続です。キーロガーを使用しているか、(おそらく私の意見では)仮想ホストに自動的にログインしてファイルリポジトリを最新の状態に保つDreamWeaverなどのアプリケーションにパスワードベースのsftpを設定したことを忘れています。
これは実際のログインです。そして、「どうすれば突然パスワードログインを使用できるか」という質問に答えるために、それは単にパスワード認証を無効にしていないからです。
どのユーザーにもパスワード認証を必要としない場合は、shouldsshd_configのPasswordAuthenticationフラグをnoに設定します。キーロガーまたはブルートフォース。
私は個人的にこれを行い、ある時点でパスワード認証が必要になった場合(コンピューターはあるがキーを自由に使用できない緊急時など)、VPSコントロールパネルからログインし、SSLVNCを介してパスワード認証を有効にします。
パスワード認証が必要なユーザーがいる場合は、次のようにMatch UserまたはMatch Groupを使用できます。
PasswordAuthentication no
Match User passwordauthuser
PasswordAuthentication yes
または
PasswordAuthentication no
Match Group passwordauth
PasswordAuthentication yes
パスワード認証が本当に必要な場合のもう1つのオプションは、私が過去に行ったことです。nlは、推測できないほど長いユーザー名を作成して、誰かがそのユーザーを推測する可能性を減らします。
たとえば、echo "mysupersecretuser" | sha256sum | sha256sum。これは依然としてキーロガーやクリップボードのハイジャックを起こしやすいです。しかし、明らかに、誰かがあなたのユーザーをニヒルムに推測する可能性を減らします。
最後に、本当に偏執的である場合は、サーバーで許可されているすべてのSSHキーを確認し、すべての公共サービスのすべてのパスワードとユーザーを変更します。
ただし、この場合、これはおそらく何らかのサービスからの自動ログインであると述べたときに、JeffAlbertが正しいと思います。どのサービスかわからない場合は、とにかくログインを無効にする必要があります。
アプリケーションの違反が発生した場合に、サーバーに何が接続されているかを知ることをお勧めします。 (メモリは非常に簡単に読み取ることができ、保存されているパスワードも簡単に読み取ることができます)。