Pegando muitas autenticações com falha para várias contas

1

Meu servidor está recebendo várias tentativas de autenticação com falha para várias contas. A mais comum (que já vi) ou a conta root .

Desde então, tenho ativado o Fail2Ban e executado várias verificações de rootkit / malware para garantir que não fiquei comprometido . Há mais alguma coisa que eu deveria fazer? Eu só tenho três contas ativadas e acesso SSH para apenas dois. Eu tenho uma proibição total de 48 horas para quem fizer mais do que seis tentativas de login com falha no SSH. Eu não tenho FTP habilitado.

    
por Josh K 18.05.2010 / 02:56

3 respostas

3

se você estiver usando pares de chaves públicas / privadas, você não terá quase nada com que se preocupar, com as tentativas de login de força bruta. se você tiver a autenticação por senha desativada, isto é.

você pode executar ssh em uma porta não padrão, como 2222 , mas, em pouco tempo, começará a ver tentativas nessas portas, já que muitos botnets também executam scanners de portas.

Outra coisa que você pode olhar para configurar é a porta-knocking, o que é uma dor, mas iria bloquear o ssh para apenas as pessoas que emitem o "knock" adequado, link

    
por 18.05.2010 / 03:24
2

Desabilite a autenticação de senha e os logons raiz adicionando / alterando as seguintes linhas no seu arquivo sshd_config (normalmente localizado em / etc / ssh / sshd_config)

PasswordAuthentication no
PermitRootLogin no

O que você está vendo é normal - está acontecendo na Internet aberta há anos e nunca vai parar.

Você precisará obter autorização de chave pública antes de desativar as senhas, se ainda não tiver feito isso.

    
por 18.05.2010 / 11:32
1

Eu recebo isso o tempo todo, eles nunca terminam. O melhor é ter certeza de que você não está usando contas genéricas que tenham senhas genéricas.

Eu também uso o fail2ban e ele funcionou bem. (Mas na maioria das vezes, eu sou atingido por todos os hosts diferentes, por isso não ajuda muito)

    
por 18.05.2010 / 03:08