saída do comando “lastb”

Question

saída do comando “lastb”

#1 resposta do user8675309 (0 votos)
#2 resposta do Jeff Groves (0 votos)

0

No meu $ sudo lastb, encontrei muitas linhas de tentativas de login incorretas (?).
Todas elas são tentativas de invasão contra meu servidor publicamente acessível? Acabei de perceber que tive <881 tentativas de login incorreto por apenas um dia (24 de fevereiro)
Veja minha saída do comando $ sudo lastb abaixo:


$ sudo lastb
...
...
root     ssh:notty    116.31.116.33    Fri Feb 24 18:51 - 18:51  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:49 - 18:49  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:49 - 18:49  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:49 - 18:49  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:48 - 18:48  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:48 - 18:48  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:48 - 18:48  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:47 - 18:47  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:47 - 18:47  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:47 - 18:47  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:46 - 18:46  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:46 - 18:46  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:46 - 18:46  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:45 - 18:45  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:44 - 18:44  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:44 - 18:44  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:43 - 18:43  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:43 - 18:43  (00:00)
root     ssh:notty    116.31.116.33    Fri Feb 24 18:43 - 18:43  (00:00)
root     ssh:notty    179.85.126.212   Fri Feb 24 17:15 - 17:15  (00:00)
root     ssh:notty    179.85.126.212   Fri Feb 24 17:15 - 17:15  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
root     ssh:notty    121.139.93.109   Fri Feb 24 16:16 - 16:16  (00:00)
toor     ssh:notty    185.144.157.8    Fri Feb 24 15:37 - 15:37  (00:00)
toor     ssh:notty    185.144.157.8    Fri Feb 24 15:36 - 15:36  (00:00)

btmp begins Fri Feb 24 15:36:58 2017
[woogon@cafe24 ~]$ sudo lastb | wc -l
9743
[woogon@cafe24 ~]$ sudo lastb | grep Feb 24 | wc -l
grep: 24: No such file or directory
0
[woogon@cafe24 ~]$ sudo lastb | grep "Feb 24" | wc -l
881

Quais seriam minhas ações defensivas para isso?

Obrigado antecipadamente.
Woogon

por Woogon Chung 28.02.2017 / 16:14

2 respostas

Nenhuma placa de som detectada usando o Ubuntu 16.04 no intel stick STK1A32SC Como posso evitar essa tela no meu Xubuntu 16.04 LTS?

score 0 · Answer 1

Acho que os procedimentos padrão aqui seriam

A) Desativar root ssh

e

B) Desativar autenticação de senha - use a chave pública

Para desativar o login root ssh, em / etc / ssh / sshd_config set PermitRootLogin não

Há muitos tutoriais que orientarão a configuração da autenticação de chave pública para o ssh, mas tudo se resume a:

Crie um par de chaves pública / privada em sua máquina cliente com ssh-keygen
Copie a chave pública para o servidor com ssh-copy-id
Em / etch / ssh / sshd_config (no seu servidor) defina PubkeyAuthentication yes
Faça o login usando a chave pública para verificar se funcionou (se não verificar as permissões do arquivo para /.ssh/ e /.ssh/authorized_keys, elas geralmente me causam problemas)
Em / etc / ssh / sshd_config, configure PasswordAuthentication no

score 0 · Answer 2

Use os arquivos TCP Wrapper /etc/hosts.allow e /etc/hosts.deny para limitar as conexões ssh a endereços IP ou FQDN específicos.

O uso desses arquivos é descrito aqui.

link

Não se esqueça de incluir o intervalo de endereços IP da sua rede privada local em /etc/hosts.allow para continuar conectando-se ininterruptamente.

Um exemplo para permitir todos os endereços IP no bloco 192.168.0. * seria:

ALL: 192.168.0.

Observe o ponto à direita. Essa é a sintaxe para permitir todos os endereços nesse intervalo.