Saya memiliki kotak CentOS 5.x yang berjalan pada platform VPS. Tuan rumah VPS saya salah menafsirkan pertanyaan dukungan yang saya miliki tentang konektivitas dan secara efektif memunculkan beberapa aturan iptables. Ini menghasilkan ssh mendengarkan pada port standar dan mengakui tes konektivitas port. Mengganggu.
Berita baiknya adalah saya memerlukan kunci Resmi SSH. Sejauh yang saya tahu, saya tidak berpikir ada pelanggaran yang berhasil. Saya masih sangat khawatir tentang apa yang saya lihat di / var / log / secure:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apa sebenarnya arti "BREAK-IN ATTEMPT"? Bahwa itu berhasil? Atau bahwa itu tidak suka IP dari mana permintaan itu berasal?
.rhosts
atau.shosts
otentikasi (saya belum pernah melihat yang digunakan). Pemindaian terjadi, tetapi bukan itu tujuan dari pesan ini (meskipun koneksi apa pun dapat memicunya) (Untuk pemindaian, pesan pengguna auth / gagal yang tidak diketahui lebih baik dicari)Bagian "POSSIBLE BREAK-IN ATTEMPT" secara khusus, terkait dengan bagian "pembalikan pemetaan pemeriksaan getaddrinfo gagal". Ini berarti orang yang terhubung tidak memiliki DNS maju dan mundur yang dikonfigurasi dengan benar. Ini cukup umum, terutama untuk koneksi ISP, yang merupakan tempat "serangan" itu mungkin berasal.
Tidak terkait dengan pesan "POSTUBLE BREAK-IN ATTEMPT", orang tersebut benar-benar mencoba untuk masuk menggunakan nama pengguna dan kata sandi yang umum. Jangan menggunakan kata sandi sederhana untuk SSH; sebenarnya ide terbaik untuk menonaktifkan kata sandi sama sekali dan hanya menggunakan kunci SSH.
sumber
Ini berarti bahwa pemilik netblock tidak memperbarui catatan PTR untuk IP statis dalam jangkauan mereka, dan mengatakan catatan PTR sudah usang, ATAU ISP tidak menyiapkan catatan balik yang tepat untuk pelanggan IP dinamisnya. Ini sangat umum, bahkan untuk ISP besar.
Anda akhirnya mendapatkan pesan dalam log Anda karena seseorang yang berasal dari IP dengan catatan PTR yang tidak benar (karena salah satu alasan di atas) mencoba menggunakan nama pengguna umum untuk mencoba SSH ke server Anda (mungkin serangan bruteforce, atau mungkin kesalahan jujur ).
Untuk menonaktifkan lansiran ini, Anda memiliki dua pilihan:
1) Jika Anda memiliki IP statis , tambahkan pemetaan balik Anda ke file / etc / hosts Anda (lihat info lebih lanjut di sini ):
2) Jika Anda memiliki IP dinamis dan benar-benar ingin membuat peringatan itu hilang, komentari "GSSAPIAuthentication ya" di file / etc / ssh / sshd_config Anda.
sumber
GSSAPIAuthentication
tidak membantu dalam kasus saya (UseDNS no
mungkin pengaturan yang lebih baik untuk menyingkirkannya (dan login lambat ketika server memiliki masalah DNS ...)Anda dapat membuat log Anda lebih mudah dibaca dan diperiksa dengan mematikan pencarian balik di sshd_config (UseDNS no). Ini akan mencegah sshd dari penebangan garis "noise" yang mengandung "POSTIBLE BREAK-IN ATTEMPT" membuat Anda berkonsentrasi pada baris yang sedikit lebih menarik yang berisi "PENGGUNA pengguna yang tidak valid dari IPADDRESS".
sumber
logcheck
menggangguku dengan laporan email yang tidak berharga.UseDNS
adalah untuk (ide buruk untuk digunakan).rhosts
dan.shosts
otentikasi (HostbasedAuthentication
). (DanFrom
opsi kecocokan dalam konfigurasi SSHD dan Authorized_keys) (Ada pengaturan terpisahHostbasedUsesNameFromPacketOnly
yang mungkin diperlukan untuk beralih dari pencarian terbalik untuk auth berbasis Host juga, ide yang lebih buruk daripada menggunakan Hostsbasedauthentication ...)Tidak perlu login yang sukses, tetapi apa yang tertulis "posible" dan "usaha".
Beberapa anak nakal atau skrip kiddie, mengirimi Anda traffic yang dibuat dengan IP asal yang salah.
Anda dapat menambahkan batasan IP asal ke kunci SSH Anda, dan coba sesuatu seperti fail2ban.
sumber