Problema de segurança potencial do SSH?

Question

Problema de segurança potencial do SSH?

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)

4

Eu acabei de fazer um 'netstat -a' na minha máquina FreeBSD. Eu descobri o seguinte:

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 40 turban.ssh host90.embarqser.60230 ESTABLISHED
tcp4 0 0 turban.ssh host90.embarqser.59985 LAST_ACK
tcp4 0 0 turban.ssh host90.embarqser.47224 TIME_WAIT
tcp4 0 0 turban.ssh host90.embarqser.9304 LAST_ACK

Poderia haver alguém invadindo minha máquina? Meu nome de host é "turbante", como você pode ver. Eu sou realmente "novo" sobre a segurança do sistema. Alguém poderia me esclarecer?

De /var/log/auth.log , muitos erros como:

May 4 20:07:10 turban sshd[47801]: Failed keyboard-interactive/pam for invalid user backup from 76.7.43.90 port 11831 ssh2

May 4 20:07:13 turban sshd[47804]: error: PAM: authentication error for bin from 76.7.43.90...

ssh security freebsd

por will 04.05.2011 / 14:26

4 respostas

Tags ssh security freebsd

Por que o sudo não lembra a senha quando executada em um script com fluxos redirecionados? Diferença entre o Windows XP e o Windows XP Embedded

score 2 · Answer 1

Veja o /var/auth.log para mais informações.

Se alguém estiver tentando acessar sua máquina, será registrado neste arquivo.

Exemplo do meu auth.log:

Apr 24 13:53:16 my-server sshd[8107]: Failed password for invalid user db2 from 123.123.123.123 port 59167 ssh2

Para ver o IP de usuários conectados (conexões SSH), digite:

netstat -atn | egrep '(:22)' | egrep -v '(:::|0.0.0.0)' | awk '{print substr($5,0,length($5)-5)}' | sort | uniq -c

Isso mostrará o IP e o número de conexão / IP

score 1 · Answer 2

A resposta curta é que alguém está tentando invadir seu sistema, provavelmente por meio de uma variação do típico ataque de dicionário (ou seja, tentando combinações comuns de nome de usuário / senha, em vez de apenas adivinhar aleatoriamente).

Além do excelente conselho do @Henk (eu crio um grupo específico, normalmente sshusers , e só permito que usuários desse grupo façam login, por exemplo), eu sugeriria instalar Fail2ban no seu sistema com uma cadeia SSH configurada. Isso elevará a dificuldade de um ataque de força bruta contra seu servidor ao reino da impossibilidade total, já que os invasores se encontrarão repentinamente desligados por um período de tempo quando tentarem; combine isso com o how-to entitulado Fail2ban monitorando o Fail2ban para criar uma resposta elevada a um ataque (o meu está configurado com a proibição padrão de 10 minutos inicialmente, e depois uma semana inteira se eles forem persistentes), e você pode simplesmente parar de se preocupar (desde que tenha pelo menos senhas suficientemente strongs; use pubkeys e você é quase invencível!). / p>

score 1 · Answer 3

Eu não me preocuparia muito com essa descoberta específica. Talvez alguém tenha tentado " ~~port-knock~~ varredura de portas" em sua porta SSH (por exemplo, com um scanner de dicionário), mas não teve êxito, pois você espera ter uma senha ou chave de autenticação adequada .

Para clarear seu conhecimento, leia este blog Melhore a segurança de acesso remoto SSH para veja o que mais você pode fazer, esp. a parte "Permitir que apenas usuários específicos efetuem login por SSH". E não permite logins root através do SSH!

score 1 · Answer 4

Meus registros estão cheios de russos, americanos tentando nomes ingleses no meu 22º porto. Muito ruim para eles eu mudei a porta SSH para 307, e eu uso porta-batendo na porta 54321 para abrir a porta SSH.