auth.logで多くのSSHログイン試行が見つかりました
Ubuntuで独自のDigitalOcean Dropletを実行しています。今日、そのDropletへの私のSFTP接続が作業中に少し遅れていることがわかったので、/var/log/auth.logファイルをチェックして何が起こっているのかを確認しました。
過去7日間ほど、さまざまなIPアドレス(1分に1回など)からのSSHログインに膨大な数の失敗がありました。多くのランダムなユーザー名が使用されているため、それらはほとんど辞書攻撃のように見えます。
連続したSSH接続を事前にブロックする基本的なIPTABLES構成があり、rootログインを禁止し、SSHポートを22から変更することでセキュリティを強化しました。また、ログインパスワードを特権アカウントに変更しました。
この辞書攻撃を受けている期間はわかりませんが、ログには不審なログイン成功は表示されません。私の質問は、この辞書攻撃によるログイン試行の成功の可能性を考慮する必要がありますか?これらは、rootを介したログイン試行の成功時にマルウェアをインストールした可能性のあるボットであることが心配です。
強力なルートパスワードがあれば成功する可能性は低いですが、tcptrackなどのツールを使用してマルウェアをチェックし、疑わしい接続がサーバーから行われているかどうかを確認できます。
外の世界と通信するマルウェアを除いて、whereを正確に特定することは非常に困難です。ルートアクセス、あなたは必ず侵害され、人はシステム上のすべてを完全に制御できます。誰かがルートアクセスを取得したという信with性を感じた場合、最善のアクションは、必要なすべてのデータをドロップレットから転送し、最初からやり直すことです。可能
セキュリティを強化するために確保できるもう1つの手順は、任意のタイプのパスワード認証を拒否し、 PublicKey認証のみに制限することです そのような辞書攻撃は無効です
何らかの理由でパスワードを使用するhaveを使用する場合(ほとんどの場合は不要であり、強くお勧めしません)、セットアップできます knockd ポートノッキングを使用して、攻撃者がどのポートsshがオンになっているかを確認できないようにします。これはあいまいさによるセキュリティに過ぎず、強力なパスワード/パスフレーズが必要なことに注意してください。