web-dev-qa-db-ja.com

侵入の試みにはどのような危険がありますか(そして私は心配する必要があります)? (OSSECによる報告)

サーバーにOSSECをインストールしましたが、次のようなレポートが表示されます。

Jan 11 19:27:03 Daddy sshd [14459]:pam_unix(sshd:auth):認証に失敗しました。 logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 58.215.184.93 user = root
1月11日19:26:54Daddy sshd [14457]:pam_unix(sshd:auth):認証に失敗しました。 logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 58.215.184.93 user = root

メールごとに約10回繰り返されます。これまでのところ、OSSECからのこれらの電子メールのうち3つまたは4つがなければ1日は過ぎていません。もちろん、私の最初の感情は少し怒りであり、「彼らが私の箱にハッキングしようとするなんてあえて!」とにかく、それが最近のネットの状態だと思います。先日、誰かにユーザービンを試してもらいました

私もこのメッセージを受け取りました:

Jan 12 02:04:07 Daddy sshd [16109]:static-52-53.mk-net.ru [91.211.52.53]のgetaddrinfoをチェックするリバースマッピングが失敗しました-侵入の可能性があります!

(繰り返しますが、複数回繰り返します)

リバースマッピングの少なくとも1つの良性のソースは、あなたがボットネットではないことを確認しようとしたときにfreenodeから来ていることを知っていますが、そのソースについては確認していません。

特に以前のサーバーが(おそらく)phpMyAdminを介してハッキングされたため、脆弱性の問題にはかなり敏感です。

したがって、サーバーを保護するためのアドバイスやリソースをいただければ幸いですが、私の主な質問はこれです。これらの侵入の試みについて心配する必要がありますか? rootユーザーはパスワードを持っていない(ログインが無効になっている)ので、これらの失敗したログインを無視しても安全ですか?この道に沿って起こりうる脆弱性を制限するために私ができる、またはすべきことは他にありますか?このシステムはルーターの背後にあり、必須の(使用しているサービスなど)ポートのみが開いています(ssh、Apache、およびpostfix)。

1
Wayne Werner

ええ、SSH経由のrootログインが無効になっている場合は、rootが失敗した試行を確実に無視できます。逆引きDNSの失敗は心配する価値がありません。それらは攻撃者からのものである可能性がありますが、それはISPの一貫性のない構成にすぎません。

もう少しよく眠りたい場合は、fail2banを見てください。失敗を繰り返した後、攻撃者のIPを一時的にブロックするように設定できます。

3
Shane Madden

心配する必要がありますか?それがどのように保護されているかわからない場合にのみ。

SSHの場合、最高のセキュリティ形式は、キーとパスフレーズの両方のログインを強制することです。

SSHへのログイン試行を劇的に減らすことができます(停止はしません)が、ポート番号をデフォルトの22から別のものに変更します。セキュリティを強化することは何もしませんが、リスニングサービスがあるかどうかを確認するために共通のポート番号をプローブする多くの自動プローブを延期します。

実用的な場合は、ファイアウォールルールを使用して既知の場所からポート22へのTCP接続のみを許可します。それ以外の場合は、それらの場所からの接続試行の失敗をブロック/ファイアウォールで遮断する方法があります。fail2banこれを実行するスクリプトの1つです(Shaneがすでに述べたように)。以前に使用したので、これをお勧めします。

2
Matt