多数のSSHログイン試行
今日、CentOSボックスにログインして、次のものを見つけました。」
There were 11126 failed login attempts since the last successful login.
Last login: Tue Mar 10 14:36:47 2015 from X.X.X.X
つまり、過去3日間で11回のログイン試行が11回あります。 WTF?これは私がプロバイダーから取得した真新しいIPであり、ボックスは真新しいことに注意してください。このボックス以外はまだ公開していません。
なぜこんなに多くのログイン試行が行われるのですか?ある種のIP /ポートスキャンですか?
犯人は基本的に4人で、2人は中国(MOVEINTERNET-NETWORK)、1人は香港(HEETHAI-HK)、1人はVerizon(Verizon Online LLC(VRIS))です。
これはSSHでのみ発生します。 HTTPの問題はありません。問題のあるサブネットをNullルーティングする必要がありますか?君たちは何を示唆していますか?
実際にログインしているアカウントでのみ「ログイン試行失敗」メッセージが表示されます。 SSHスキャナーは通常、人の一般的な名前や「root」などの既知のシステムアカウントを試すため、SSHを介してrootとして直接ログインしているというメッセージが表示されます。これを行うべきではありません。
まず最初に、自分用の通常のユーザーアカウントを作成し、そのユーザーにSudo権限を付与します。次に、/ etc/ssh/sshd_configファイルでSSHを介して「root」アカウントのログインを無効にします(そしてsshdを再起動します)。これにより、たとえパスワードを推測したとしても、誰もrootとしてログインできなくなります。
さらに、パスワードベースのログインを無効にし、SSHキーのみを許可する必要がありますが、これは少し面倒になる可能性があるため、それを行う前に、それに慣れていることを確認してください。
Sshが待機するポートを変更することもできます(デフォルトは22)。これにより、ログのノイズは減少しますが、追加のセキュリティは追加されません。これを行う唯一の目的は、ログのノイズを減らすことです。
インターネットからのSSHアクセスを完全に無効にする別のオプション(ファイアウォールでポートをブロックする)ですが、SSH経由でサーバーにアクセスするには、ファイアウォールへのVPNが必要です。
インターネット上にサーバーがある場合は、常にスキャンされますが、それは単なる現実です。