Estou vendo alguns registros que parecem tentativas de hackers
Tipo 1
Dec 26 03:09:01 ... CRON[9271]: pam_unix(cron:session): session closed for user root
Dec 26 03:17:01 ... CRON[9308]: pam_unix(cron:session): session opened for user root by (uid=0)
Tipo 2
Dec 26 03:27:11 ... sshd[9364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.217.235.5 user=root
Dec 26 03:27:12 ... sshd[9364]: Failed password for root from 60.217.235.5 port 47933 ssh2
O que isso significa? Eles geralmente vêm em 5's. Eu habilitei ufw limit ssh . Então eu acho que o UFW está enganando isso. Mas pergunto por que existem 2 tipos, 1 falha de autenticação, 1 sessão fechada.
Suponho que devo responder a isso usando denyhosts , alterando ssh port & Desativar login root? O que mais eu posso fazer? A última vez que usei negar hosts, também me bloqueou ... Também posso aumentar o tempo de repetição do UFW? Como só permitir login 1 hora depois? Talvez reduza as tentativas de login para 3?
Como já foi mencionado, o primeiro tipo não vem de nenhum material relacionado ao SSH, é um registro de atividade do seu cron deamon e isso não é prejudicial, mas é comum. O segundo pode ser tentativas de login de um hacker, e estas devem ser seguidas. denyhosts pode ajudá-lo, mas desabilitar a possibilidade de logins de raiz também é uma boa ideia (em além de denyhosts , não em vez de !)
As mensagens de CRON registram a atividade normal. Estas são tarefas agendadas (provavelmente executadas por hora ou diariamente) que são executadas por root.
As mensagens do SSH indicam que alguém tentou efetuar login como root. Existem bots que tentam endereços aleatórios e tentam fazer o login com senhas fracas ou para explorar falhas de segurança. A maioria das pessoas pode ignorar essas tentativas, tudo que você precisa é observar a higiene simples:
/etc/sshd_config (possivelmente /etc/ssh/sshd_config ou algum local semelhante dependendo da sua distribuição) configurando PasswordAuthentication No ; ou certifique-se de que todos os usuários em seu sistema tenham uma senha strong (não uma palavra do dicionário ou uma variação simples em uma). Você pode implementar medidas mais rigorosas se as tentativas estiverem usando uma parte significativa de sua largura de banda ou CPU ou espaço de registro, mas tenha cuidado com o fato de restringir o SSH poder bloqueá-lo um dia. Mudar a porta fará com que você fique invisível para a maioria dos bots (você não está mais entre as frutas penduradas mais baixas), mas pode ser que você não consiga fazer login através de alguns firewalls (se você quer mudar a porta, e você não está executando um servidor HTTPS, 443 é bom porque a maioria dos firewalls permite HTTPS e não pode diferenciar com o SSH). Denyhosts manterá o número de tentativas baixo. A batida de portas é outro método, mas não é muito útil: você pode fazer login apenas a partir de uma máquina controlada por você. não está atrás de um firewall rigoroso e o benefício é bem pequeno.
Você pode usar um método chamado "port knocking".
Google "iptables port knocking".
Para o mundo externo, isso parecerá como você não tem nenhum servidor ssh em execução.