web-dev-qa-db-ja.com

多くのSSHが私のログで試行します。正常ですか?

自宅にRaspberry Piを接続していて、今月の2日目にルーターのポート22を開いて、どこからでもSSHで接続できるようにしました。今日は好奇心から、Raspberry Piのログを確認することにしました。次のような行を見つけました。

Mar 29 07:00:34 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:36 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:38 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:39 raspberrypi sshd[10242]: Received disconnect from 59.63.192.199: 11: [preauth] Mar 29 07:00:39 raspberrypi sshd[10242]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.192.199 user=root Mar 29 07:00:50 raspberrypi sshd[10246]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.192.199 user=root Mar 29 07:00:51 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2 Mar 29 07:00:53 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2 Mar 29 07:00:55 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2

Raspberry Piにはrootユーザーさえありませんが、私は恐れています。何かが侵入された可能性はありますか?私はRaspberry Piの使い方を学んでいます。今日は秘密鍵を設定し、パスワードベースのSSHログインを無効にするつもりでした。念のため、SDカードもフォーマットしてRaspbianを再インストールします。

質問は:思い出せませんが、このログイン時にポート22が開いていなかったと思います。また、これらのポート番号はどういう意味ですか?たとえば、ポート38807と表示されます。このポートはどこですか?彼らは22に接続しようとしていますか?

2
mafagafo

この質問は似ていますが、まったく同じではありません。RaspberryPiについての質問と同様です。 auth.logにログインの間隔が狭い失敗したログイン

ログから、誰かがルートパスワードをブルートフォースにしようとしているようです。 (ヒドラのような自由に利用できるソフトウェアはこれを行います)。 IPアドレス59.63.192.199の後にリストされているポートは、攻撃者のコンピューターのポートであるため、22である必要はありません。宛先は22(ssh)ですが、ソースはそうである必要はありません。

IPアドレス59.63.192.199は中国のどこかから来ています。 「whois」ルックアップは、このアドレスを江西省ネットワークに関連付けられたブロックに属するものとしてリストします。このIPはpingに応答しますが、独自の最初の1000ポートが開いていないようです。

幸いなことに、攻撃者はRaspberry Piを持っていることを知りません。そのため、攻撃者は「pi」ではなく「root」を試行しています。

これについて心配している場合は、いくつかのことを行ってpiをロックダウンできますが、それでもsshサーバーを実行できます。1)ufwをインストールします。 2)fail2banをインストールします。 3)ssh-keysを使用する

ufwはファイアウォールであり、一般的にはこれで十分です。これを使用して、望ましくないIPアドレスをブラックリストに登録できます。 fail2banは、あなたを総当たりしようとする人々を自動的にブラックリストに載せます。何よりも、ssh-keysを使用するように切り替えて、ユーザー名/パスワードの入力を完全に禁止するのが最善です。また、sshサーバーを標準以外のポートに切り替え(1000を超える値を使用)、定期的なスキャンを回避できます。

0
hft

ここで、ServerfaultとUnix&Linuxに関して、これについてはすでに多くの質問があります。私はモバイルなので、残念ながらリンクできませんが、「SSHブルートフォース」を検索すると、これらの各サイトで非常に賛成の質問が見つかります。

基本的に、「Raspberry Pi」(この名前が嫌いになりそうです)は特別なものだと考えるのをやめるべきです。そうではありません。それは単なる標準のLinuxマシンであり、Linuxマシンに適用されるすべての質問とセキュリティ手順もそれに適用されます。

正しく考え始めると、サーバーのセキュリティ保護に関してSEネットワークが抱えている多くの質問を閲覧できます。

特定のケースの場合、簡単な解決策は、キーに切り替えてパスワード認証を完全に無効にし(セキュリティの問題に対処し、攻撃者が悪用できないようにする)、SSHポートを次のような非標準のものに変更することです。 2222を使用すると、ログのノイズが少なくなります(キーに切り替えても、これらの自動ブレークイン試行は続行されますが、ブレークインできなくなってもログはフラッディングされます)。

1
user42178