web-dev-qa-db-ja.com

数万の失敗/拒否されたSSHログイン試行

最近、数人の友人と私はアプリのアイデアを思いつきました。作成を容易にするために、Ubuntu Server 12.04でLAMPをセットアップします。この箱は私の家から出ています。 3つのユーザーアカウントを設定しました。私はまだLinuxを初めて使用しますが、自分のマシンでUbuntuを使用した経験が少しあります。

今日、SSHをいじってログを見て(サーバーのパフォーマンスを知るためにその情報を読む方法を学ぶ必要がありますか?)、私は最も奇妙なことを見ました。

/var/log/auth.logと/var/log/auth.log.1で、「root」のログイン試行の失敗と、よく知らないいくつかのユーザー名が見られました。私はそれらを調べましたが、システム上の実際のユーザーを除いて、ユーザーが認証されていないことがわかります。リストされているIPアドレスの多くはロシアのものであるようです。

現時点では、このサーバーにはLAMPを備えたVanilla Ubuntu Serverのみが含まれていますが、それでも次のコマンドが含まれています。

Sudo grep -i fail /var/log/auth.log | wc -l

結果として3412になります。これは、4月8日以降稼働しているサーバーにとっては非常に過剰なようです。 auth.log.1で上記のコマンドを実行すると23075(!!!!)の結果が返されるため、さらに悪化します。

人々がサーバーに侵入しようとしていることは明らかです。価値のあるものが含まれているわけではありませんが、アプリの開発を開始したら、知的財産を盗まれたくありません。

心配する必要がありますか?そして、私はそれについて何ができますか?

編集:

いくつかの非常に有用な情報を見つけました here これにより、ログインしようとしたすべての無効なパスワードと無効なユーザーを分割およびソートするスクリプトを実行できました。グーグル!

4
Raichu

これは私にもたくさん起こっています。 SSHサーバーに対してブルートフォース攻撃を試みるスクリプトキディがたくさんいます。

これまでの私の解決策は DenyHosts をインストールすることでしたが、14.04ではサポートされないようです。次善の解決策は Fail2Ban のようです。 Ubuntu Trusty Tahrのパッケージdenyhostsのリンクと詳細が削除されました:一時的または永久ですか?

その答えで、bodhi.zazenはこの非常に推奨されるページを指しています: http://bodhizazen.com/Tutorials/SSH_security

2
Rmano