Странное соединение на ssh serer
Итак, однажды я решил проверить логи сервера ssh. Так и сделал, и обнаружил что-то странное.
Было около 3 разных IP-адресов, пытающихся угадать пароль root? Что мне делать?
PS: IP такой: 187.141.70.67, а из мексики? Остальные 2 ips были похожи и из Китая, поэтому я подумал, что это боты. Не уверен.
Простите, если это глупый вопрос. Я выключил сервер ssh.
0
задан Lee Ikard
30 October 2016 в 04:12
Ссылка
1 ответ
Несколько вещей, которые вам следует сделать:
- Отключить вход в систему root через SSH (/ etc / ssh / sshd_config PermitRootLogin no)
- Если можно - отключите аутентификацию по паролю. Оставьте только ssh-ключи auth. (/ etc / ssh / sshd_config PasswordAuthentication no)
- Использовать IDS (систему обнаружения вторжений). Одним из примеров может быть ossec
http://ossec.github.io/ - Используйте fail2ban http://www.fail2ban.org/
- Вы можете интегрировать ossec с fail2ban, чтобы, если ossec обнаруживает определенные шаблоны, ваш fail2ban запустит и заблокирует удаленный IP. Для базовой защиты ssh это не нужно, это скорее для более сложных случаев.
1