upaya serangan ssh pada OS X 10.10 - haruskah saya khawatir / merespons?

0

Jika saya mengaktifkan OS X "Remote Login" (yaitu, akses ssh), log konsol saya mendapatkan pesan biasa seperti berikut:

 22/04/2015 13:05:23.364 sshd[2118]: error: PAM: authentication error for root from 43.255.190.157 via 10.0.1.10

Ini terjadi sekitar satu detik sekali untuk periode waktu yang lama. Alamat IP penyerang berubah dari waktu ke waktu (tetapi biasanya tetap pada sesuatu seperti 43.255.190. * Untuk sementara waktu). Mematikan akses ssh menghentikan serangan selama beberapa menit, tetapi mereka biasanya restart dalam beberapa saat jika me-restart Remote Login (yang saya perlukan!).

Saya tidak terlalu khawatir tentang serangan yang sebenarnya berhasil (khususnya, saya sudah mematikan akun root) tetapi haruskah saya khawatir tentang kelebihan lalu lintas jaringan dan hanya mengisi file log dengan omong kosong yang tidak perlu? Saya lebih suka tidak harus menggunakan perangkat lunak pihak ketiga apa pun jika memungkinkan.

Mesin saya ada di belakang modem kabel dan Apple Time Capsule yang melakukan semua hal NAT dan meneruskan port yang sesuai ke mesin ini.

Untuk apa nilainya, di bawah Mavericks /etc/hosts.deny tampaknya tidak berpengaruh, tapi saya mengerti bahwa saya mungkin bisa menggunakan pfctl?

(Saya punya pertanyaan serupa tentang serangan VNC ...)

Andrew Jaffe
sumber

Jawaban:

3

Tidak perlu khawatir, karena ini adalah "suara latar internet" yang biasa.

Jika Anda ingin menyingkirkan "penyerang" tersebut, lihat fail2ban (meskipun pihak ke-3 - tersedia melalui Homebrew dan MacPorts dan juga dapat diterapkan ke vnc). hosts.deny dan oleh karena itu mis denyhost diketahui sekarang bekerja dengan sshd di maverick lagi.

Henrik
sumber
Jawaban atas pertanyaan ini memiliki saran yang sangat bagus dan lebih banyak superuser.com/q/244214/370177
fswings
Saya baru saja mendapatkan router saya mengabaikan port 22 tetapi untuk meneruskan port yang berbeda dari internet ke port 22 pada mesin yang ingin saya akses. Jenis hal ini juga akan memungkinkan Anda untuk mengakses beberapa mesin di jaringan rumah Anda: port 2201 pergi ke port 22 pada mesin # 1, 2202 pergi ke port 22 pada mesin # 2, dll. Ini tidak memberikan peningkatan nyata dalam keamanan tetapi itu adalah sederhana dan mengurangi suara dalam file log.
j-beda
0

Alasan Anda mendapatkan ini adalah karena orang memiliki pemindai port dan perangkat lunak lain yang mencari alamat SSH terbuka dan kemudian mencoba masuk dengan nama pengguna dan kata sandi default seperti admindan 12345. Jika Anda dapat menangani lalu lintas tambahan dan pemberitahuan, tidak ada yang perlu dikhawatirkan. Jika Anda tidak suka, Anda bisa mencoba membuka SSH ke port lain, seperti 796.

Petualang
sumber