Se eu ativar o OS X "Login remoto" (por exemplo, acesso ssh), meu log do console recebe mensagens comuns como as seguintes:
22/04/2015 13:05:23.364 sshd[2118]: error: PAM: authentication error for root from 43.255.190.157 via 10.0.1.10
Estes ocorrem cerca de uma vez por segundo durante longos períodos de tempo. O endereço IP do invasor muda de tempos em tempos (mas geralmente fica em algo como 43.255.190. * Por um tempo). Desativar o acesso ssh interrompe os ataques por alguns minutos, mas eles geralmente reiniciam dentro de um pouco de tempo, se estiver reiniciando o Login Remoto (o que eu preciso!).
Eu não estou particularmente preocupado com o sucesso do ataque (em particular, eu tenho a conta root desativada), mas eu deveria estar preocupado com excesso de tráfego de rede e apenas preenchendo os arquivos de log com uma porcaria desnecessária? Eu preferiria não ter que usar qualquer software de terceiros, se possível.
Minha máquina está por trás de um modem a cabo e do Apple Time Capsule, que faz todo o material NAT e encaminha as portas apropriadas para essa máquina.
Por que vale a pena, sob Mavericks /etc/hosts.deny não parece ter qualquer efeito, mas eu entendo que eu poderia usar pfctl ?
(Eu tenho um pergunta semelhante sobre ataques VNC ...)
Não é necessário se preocupar, pois esse é o "ruído de fundo da Internet" usual.
Se você quiser se livrar desses "atacantes", dê uma olhada em fail2ban (mesmo que seja de terceiros - está disponível via Homebrew e MacPorts e também pode ser aplicado ao vnc). hosts.deny e portanto, e. Os denyhosts são conhecidos por agora trabalharem com o sshd em mavericks.
O motivo pelo qual você está recebendo isso é porque as pessoas têm scanners de porta e outros softwares que pesquisam por endereços SSH abertos e tentam efetuar login com nomes de usuário e senhas padrão, como admin e 12345 . Se você pode lidar com o tráfego extra e notificações, não há nada para se preocupar. Se você não gostar, pode tentar abrir o SSH para outra porta, como o 796.
Tags ssh macos osx-mavericks