中国からのランダムSSH IP
Ubuntu-server 19を実行しているNASサーバーはリモートアクセス用に22ポートが開いており、奇妙なIPに気付いたとき、私は何気なくnetstatを見ていました。それは中国のものであることが判明し、私が調べたところ、サイトはそれが高脅威か何かであると述べました。心配する必要がありますか?
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 asus-nas:Microsoft-ds 192.168.0.122:63312 ESTABLISHED
tcp 0 0 asus-nas:9091 192.168.0.122:64566 ESTABLISHED
tcp 0 0 asus-nas:40268 secondary.danava.c:http TIME_WAIT
tcp 0 1 asus-nas:ssh 14.29.130.153:53454 LAST_ACK
tcp 0 0 asus-nas:9091 192.168.0.122:64519 ESTABLISHED
tcp 0 0 asus-nas:9091 192.168.0.122:64520 ESTABLISHED
tcp 0 0 asus-nas:ssh 192.168.0.122:62102 ESTABLISHED
192.168.0.122 IPは、サーバーへのアクセスに使用しているコンピューターです。
パスワードログインを無効にしてsshキーを使用する場合、心配する必要はありません。
SSHは世界中から絶えず試みられています...
必要に応じて、fail2banをインストールして構成し、iptablesにブロックルールを自動的に追加できます。
ただし...OpenVPN、を使用して、独自のデジタル証明書とそのtls-auth機能をに設定します/完全にシャットダウン(!)sshレイヤーに対するすべての「不正アクセス試行」。
私のシステムのいずれかにアクセスするには、失効していない4096ビットの証明書を所有している必要があります。一度に1人のユーザーのみが同じ証明書を使用できます。また、OpenVPNサーバーが存在することを確認するには(!)、には、tls-authクレデンシャルも必要です。(このようにして、OpenVPNサーバーは苦労してCPU時間を浪費する試みを簡単にそらします:それは単にそれらを無視できることを知っています。)
「ロードウォリアー」に発行されたすべての証明書は、パスワードを使用して暗号化され、使用できるようにする必要があります。(これは、必要な30分の時間を私たちに購入するためです取り消し盗まれたラップトップ上にあった一意の証明書、それにより永久に役に立たなくなります。)
sshdは、OpenVPNの外側の堀にあるアドレスだけをリッスンし、もちろん、これまでのところファイアウォールで保護されています[誤って...]それ以外のことを試みます。トンネルを開くだけで、thensshを使用できます。
不正アクセスの試行回数:ゼロ.
これをLord of the Ringsの「ドワーフの扉」と比較します。適切なキーがあれば、すばやく簡単に入ることができます。それ以外の場合は、滑らかな崖の面が表示され、ポータルがあることを認識できません。