Muitos logins ssh com falha, mesmo com a autenticação de senha desativada

Navegue suas respostas
1

Existem alguns bots tentando ssh (centenas por dia) todos os meus servidores no oceano digital.

Em / etc / ssh / sshd_config eu configurei: 

PermitRootLogin without-password
PermitEmptyPasswords no
PasswordAuthentication no

Eu testei o ssh de máquinas sem a chave ssh configurada e recebo permissão negada (conforme esperado). Aquelas tentativas fracassadas que eu fiz não foram registradas.

Então ... Como o seguinte pode ser possível? 

Aug 31 13:26:07 margarita sshd: Invalid user appfire from 219.153.15.122
Aug 31 13:26:07 margarita sshd: input_userauth_request: invalid user appfire [preauth]
Aug 31 13:26:12 margarita sshd: Invalid user appfire from 219.153.15.122
Aug 31 13:26:12 margarita sshd: input_userauth_request: invalid user appfire [preauth]
Aug 31 13:52:38 margarita sshd: Invalid user admin from 193.104.41.53
Aug 31 13:52:38 margarita sshd: input_userauth_request: invalid user admin [preauth]
Aug 31 13:53:57 kaleshi sshd: Invalid user admin from 193.104.41.53
Aug 31 13:53:57 kaleshi sshd: input_userauth_request: invalid user admin [preauth]
Aug 31 13:58:46 margarita sshd: Invalid user user from 193.104.41.53
Aug 31 13:58:46 margarita sshd: input_userauth_request: invalid user user [preauth]
Aug 31 14:00:03 kaleshi sshd: Invalid user user from 193.104.41.53
Aug 31 14:00:03 kaleshi sshd: input_userauth_request: invalid user user [preauth]
Aug 31 14:04:48 margarita sshd: Invalid user pi from 193.104.41.53
Aug 31 14:04:48 margarita sshd: input_userauth_request: invalid user pi [preauth]
Aug 31 14:06:04 kaleshi sshd: Invalid user pi from 193.104.41.53
Aug 31 14:06:04 kaleshi sshd: input_userauth_request: invalid user pi [preauth]

Vou instalar o fail2ban , mas preciso entender primeiro como essas entradas de log podem ser gerado com autenticação de senha desativada

    
por xleon 31.08.2015 / 14:54

1 resposta

1

Acredito que esteja conectado com

login_grace_time

que significa que o serviço sshd fechará a conexão quando o usuário não for autenticado corretamente em um período de tempo determinado pela diretiva login_grace_time. Como você desabilitou o registro com senha, o usuário não pode ser autenticado com senha, portanto a conexão é fechada rapidamente (o que indica a parte [preauth] em seu log). É uma boa maneira de instalar o fail2ban, além de alterar a porta padrão 22 para outra.

    
por 31.08.2015 / 15:53

Tags

Corresponder… caractere na regra de reescrita com nginx gzip seleciona diretórios em arquivos separados