senhas com falha repetidas no log de segurança do linux (/ var / log / secure)

Question

senhas com falha repetidas no log de segurança do linux (/ var / log / secure)

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)

2

Recentemente, abri a porta SSH através de meus firewalls (e redirecionei para o meu servidor) para que eu pudesse verificar o servidor (http) enquanto estava na estrada. A primeira ou segunda semana não havia nada diferente. Mas agora, três ou quatro semanas depois, vejo muito isso:

Mar 20 08:38:28 localhost sshd[21895]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net  user=root
Mar 20 08:38:31 localhost sshd[21895]: Failed password for root from 207.210.101.209 port 2854 ssh2
Mar 20 15:38:31 localhost sshd[21896]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 08:38:32 localhost unix_chkpwd[21900]: password check failed for user (root)
Mar 20 08:38:32 localhost sshd[21898]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net  user=root
Mar 20 08:38:34 localhost sshd[21898]: Failed password for root from 207.210.101.209 port 3729 ssh2
Mar 20 15:38:35 localhost sshd[21899]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 08:38:36 localhost unix_chkpwd[21903]: password check failed for user (root)
Mar 20 08:38:36 localhost sshd[21901]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net  user=root
Mar 20 08:38:38 localhost sshd[21901]: Failed password for root from 207.210.101.209 port 4313 ssh2
Mar 20 15:38:38 localhost sshd[21902]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 08:38:40 localhost unix_chkpwd[21906]: password check failed for user (root)
Mar 20 08:38:40 localhost sshd[21904]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net  user=root
Mar 20 08:38:42 localhost sshd[21904]: Failed password for root from 207.210.101.209 port 4869 ssh2
Mar 20 15:38:43 localhost sshd[21905]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 08:38:44 localhost unix_chkpwd[21909]: password check failed for user (root)
Mar 20 08:38:44 localhost sshd[21907]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net  user=root
Mar 20 08:38:46 localhost sshd[21907]: Failed password for root from 207.210.101.209 port 2512 ssh2
Mar 20 15:38:47 localhost sshd[21908]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 15:38:57 localhost sshd[21912]: Connection closed by 207.210.101.209

Existem cerca de 1100 linhas para 20 de março, zero para 19 e 800 ou mais para 18, todas relacionadas ao mesmo IP.

O que isso significa? O que devo fazer? Por que não é cronológico?

security logging redhat

por wallyk 21.03.2010 / 08:05

3 respostas

2

Uma técnica chamada batida de porta pode ser usada para permitir que você mantenha sua porta ssh fechada até que seja solicitada (externamente) por você.

por 21.03.2010 / 08:31

1

As respostas acima explicam por que você está recebendo muitas tentativas de autenticação para o seu servidor SSH.

Quanto a "Por que não é cronológico?", parece que você pode ter um problema com sua configuração de fuso horário. Todos os registros parecem ser seqüenciais, apenas em horários diferentes (os minutos e os segundos se alinham).

Tente executar:

sudo dpkg-reconfigure tzdata

por 21.03.2010 / 15:37

Tags security logging redhat

Posso encadear métodos de autenticação no Apache? Qual proxy de armazenamento em cache as CDNs estão usando?

score 3 · Accepted Answer

Estas são tentativas do script kiddie para obter root via ssh na sua caixa. A melhor maneira que encontrei para lidar com isso é:

altere a porta ssh para qualquer coisa que não seja 22 (digamos 32999) ou outro número de porta alto aleatório
use o fail2ban ou um script semelhante. Depois de algumas tentativas de login com falha, ele bane o ip com o iptables por um período de tempo específico.

Haverá novatos citando como a configuração da porta para um número diferente é segurança através da obscuridade. Sim e não. Isso não torna sua caixa mais segura, mas reduzirá drasticamente o número de tentativas de quebra de ssh.

Editar:

Outras boas coisas a fazer são: desabilitar os logins root apenas no caso de eles adivinharem sua senha root ou desabilitar a autenticação por senha e usar a autenticação baseada em chave.