何百万ものログイン試行の失敗から保護する方法は?
PuTTYを使用してVPSにアクセスするたびに、次のように表示されます。
Last failed login: Fri Oct 6 17:25:58 UTC 2017 from xx.xxx.xxx.xxx on ssh:notty
There were 2381935 failed login attempts since the last successful login.
Last login: Tue Sep 26 09:30:02 2017 from xx.xxx.xxx.xxx
関連性があるかどうかはわかりませんが、ログインすると読み込みに時間がかかります。これほど多くのログイン失敗がない他のサーバーでは、読み込み時間が大幅に短縮されます。
この回数のログイン試行がサーバーのパフォーマンスに影響を与えるかどうかを教えてください。そして、これから保護する方法はありますか?つまり、サーバーのパスワードを破ることは不可能ですが、このログイン試行の失敗を回避する方法はありますか?
システム仕様:
- アイコン名:computer-vm
- シャーシ:vm
- 仮想化:kvm
- オペレーティングシステム:CentOS Linux 7(コア)
- CPE OS名:cpe:/ o:centos:centos:7
- カーネル:Linux 3.10.0-514.26.2.el7.x86_64
- アーキテクチャ:x86-64
したがって、これには非常に簡単な解決策があるかもしれません。
あなたが投稿した情報は、2,381,935回のログイン試行の失敗があることを示しています。これはかなり正気ではありません。推測させてください:あなたがログインしているユーザーはそのままです…root?さて、Fail2Banは不要なログイン試行をトラップするための適切なソリューションですが、はるかに簡単なソリューションがあります。notrootという新しい名前で新しいアカウントを作成し、そのユーザーに管理者権限を付与します。 Sudo経由で、rootを無効にします。
一般に、2017年のLinuxサーバーは単純である必要がありますnot実際のrootアカウントがアクティブであり、何らかの理由で使用可能です。世界中のすべての「スクリプトキディ」には、rootアカウントをハッキングしようとする大量のくだらないエクスプロイトスクリプトがあります。そして、すべての熟練したハッカーは、rootをハッキングしようとするツールを持っています。
気の利いた一般的な名前で新しいユーザーアカウントを作成し、rootを無効にすることで、攻撃対象領域を即座に減らし、この潜在的な侵入ポイントを閉じることができます。
一部のシステム管理者は、まったくの怠惰からrootを無効にすることを好みませんが、他の手段(フィルタリングされたIPまたはMACアドレスに基づくファイアウォール構成など)によってサーバーへのアクセスを何らかの方法で制限しない限り、サーバーを危険にさらすために開きます。
Fail2banに加えて(他の人が提案しているように)、VPSにOpenVPNサーバーをセットアップし、次にシステムにクライアントをセットアップしてから、クライアントにOpenVPNクライアントを使用します-ファイアウォールを使用して接続を制限しますVPNから。これは、保護/暗号化の層を追加し、SSHを非表示にすることで役立ちます。
人々が接続しようとして失敗した場合、これはかなりのリソースをかみ砕く可能性がありますが、それは別のものである可能性があります(未構成の逆引きDNS、オーバーサブスクライブされたディスク)。何が物事を遅くしているのかを見るために、稼働時間とトップを見てください。