このサーバーはハッキングされていますか、それともログイン試行のみですか？ログを見る

コンテンツをアップロードまたはダウンロードしようとしている人々を示しています。 "notty"の部分はttyがないことを意味し（ttyはテレタイプの略）、最近ではモニターやGUIがないことを意味し、sshはポート22を示し、まとめてscpやrsyncなどを意味します。

つまり、ハッキングやログインの試みではなく、パスワードの間違いやタイプミスです。一部のコンテンツはグーグル経由で見つけられたかもしれませんが、誰かが推測しようとしたパスワードが必要でした。

実は、振り返ってみると、上記は正しくありません。質問者が疑ったように、sshを介したログイン試行が失敗した可能性があります。そして（私が初めて見逃したように）それらは定期的な21または22分間隔であり、ある程度の自動化を示唆していますが、lastbは定義により失敗を示しているため、これらの結果をlastと比較して、成功したかどうかを確認する必要があります。

ポート22を閉じます。別のポートで待機するようにsshdを構成し、denyhostsをインストールして実行します。

なぜlastを使用しないのですか？ 'last'コマンドを使用して、中国または米国外のIPを探してください。

また...男は友達の男ですlasttb

Lastbはlastと同じですが、デフォルトでは/ var/log/btmpファイルのログが表示されますが、これにはすべての不正なログイン試行が含まれています。

はい、同じIPが複数のユーザー名を使用してエントリを試行したため、それらはログイン試行のように見えます。おそらくブルートフォース攻撃です。

これを解決するには：

Fail2Banをインストールし、失敗したログイン試行を-1でブロックすると、禁止が永続的になります。

SSHを保護するためにjailファイルを追加します。 Nanoエディターまたはvi、vimで新しいファイルを作成します。

nano /etc/fail2ban/jail.d/sshd.local

上記のファイルに、次のコード行を追加します。

[sshd]

enabled = true

ポート= ssh

「＃」アクション= firewallcmd-ipset

ログパス=％（sshd_log）s

maxretry = 5

bantime = -1

RE：ラスト

「ssh：notty」/ var/log/btmpエントリは、「/ etc/ssh/sshd_config」で割り当てられたSSHポート番号からのログイン試行の失敗を示します。

セキュリティ上の理由から、SSHポートは通常「22」以外の番号に変更されています。したがって、このコンテキストでの「ssh」は、現在割り当てられている（22以外の）SSHポート番号を意味します。

ログイン画面に到達するには、SSH証明書のハンドシェイクに成功する必要があるため、「ssh：notty」のログエントリは、ログインの失敗に起因する可能性があります。通常、タイプミスしたユーザー名から。ログエントリに関連付けられているIPアドレスに注意してください...それはおそらくあなた自身のものです！

「notty」は「no tty」を意味します。

Linuxサーバーをセットアップして使用する前に、基本的なセキュリティ、その仕組み、ログの場所とログの解釈方法、さまざまな構成ファイルの場所とディレクティブの意味、およびIPTablesの構成方法について学びます。ログインを「静的IPアドレス」に制限し、ログイン試行を制限/再試行します。

ログインを制限し、特定のユーザーとIPアドレスからのログインのみを許可するBASIC SSH構成ディレクティブ：

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

編集後、SSHサービスを「再起動」することを忘れないでください。

特定の静的IPアドレスからのSSH接続のみを許可する基本的なIPTablesルール：

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

変更後にIPテーブルを「復元」することを忘れないでください。

LANまたは「ホストされた」クラウド環境では、「プライベート」側（ネットワークアダプター）を保護することを忘れないでください。多くの場合、敵は既にネットワークにアクセスしており、バックドアから侵入します。

RackSpaceやDigitalOceanなどのクラウド環境を使用していて、構成を誤ってロックアウトした場合は、いつでもコンソールからアクセスして修正できます。編集する前に、必ず設定ファイルのコピーを作成してください!!!