システムログの質問-auth.log
私はここでかなり新しいです。私は自分のシステムログを見ていましたが、これに気づきました:
Jul 21 00:57:47 htpc sshd[13001]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13 user=root
Jul 21 00:57:49 htpc sshd[13001]: Failed password for root from 188.120.248.13 port 56899 ssh2
Jul 21 00:57:49 htpc sshd[13001]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:52 htpc sshd[13003]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13 user=root
Jul 21 00:57:54 htpc sshd[13003]: Failed password for root from 188.120.248.13 port 54709 ssh2
Jul 21 00:57:54 htpc sshd[13003]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:57 htpc sshd[13005]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13 user=root
Jul 21 00:57:58 htpc sshd[13005]: Failed password for root from 188.120.248.13 port 59488 ssh2
Jul 21 00:57:58 htpc sshd[13005]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
そのまま続けます。誰がそれが正確に何であるか知っていますか?
前もって感謝します。
パスワードを推測しようとするロボット。パブリックIPがあり、開いているポートでサービスを実行している場合、それらは常に試行しています。
特別なターゲットに設定されておらず、適度に強力なパスワードまたは無効なパスワード認証を持っている場合、それらは無害です。プロセッサ時間を消費しているだけです。
サービスを別のポートに隠したり、ポートノッキングサービス(fwknop)の背後に隠したり、fail2ban。
これは、sshを介してrootユーザーとしてログインを繰り返し試行するように見えます。実在の人物であるかボットであるかは明確ではないか、特に関連性があります。 IPの逆チェックは、ロシアからのものであることを示しています。
まさにこの理由で、rootとしてシステムにsshできるようにするのは得策ではありません。もちろん、すでにアクセスを拒否している場合、またはrootユーザーのパスワードを有効にしていない場合は、とにかくアクセスできません!インターネットには大量のボットネットがあり、開いているポートを検索し、パスワードを解読しようとしています。パスワードが見つかり、rootユーザーがssh経由でログインできる場合、システムの完全な制御は悪役に引き継がれます!
これを芽に入れる良い方法は、/etc/ssh/sshd_configにあるファイルに行を追加することで、sshを介したルートアクセスを拒否することです。次の行を追加すると便利です。
DenyUsers root
および/または
PermitRootLogin no
Sshサービスに変更を再読み込みさせます:
Sudo service ssh restart
Sshサーバーのセキュリティ強化に関する素晴らしいリンクを見つけることができます こちら