「侵入の可能性あり!」 / var / log / secure-これはどういう意味ですか?
CentOS 5.xボックスをVPSプラットフォームで実行しています。私のVPSホストは、接続に関するサポートの問い合わせを誤って解釈し、いくつかのiptablesルールを効果的にフラッシュしました。これにより、sshが標準ポートをリッスンし、ポート接続テストを確認しました。迷惑です。
良いニュースは、SSH認証済みのキーが必要なことです。私の知る限り、違反の成功はありませんでした。/var/log/secureに何が表示されるかについてはまだ非常に心配しています:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
「侵入の試みの可能性」とはどういう意味ですか?成功したと?それとも、リクエスト元のIPが気に入らなかったのでしょうか。
残念ながら、これは今では非常に一般的な出来事です。これは、「一般的な」ユーザー名を使用してシステムに侵入しようとするSSHに対する自動化された攻撃です。メッセージはそれが言っていることを正確に意味します、それはあなたがハッキングされたことを意味するのではなく、誰かが試みたということだけです。
「POSSIBLE BREAK-IN ATTEMPT」の部分は特に、「リバースマッピングチェックのgetaddrinfoが失敗しました」の部分に関連しています。これは、接続していた人が正引きおよび逆引きDNSを正しく設定していなかったことを意味します。これは非常に一般的であり、特にISP接続の場合は、「攻撃」が行われた可能性があります。
「侵入の試みの可能性があります」というメッセージとは無関係に、その人は一般的なユーザー名とパスワードを使用して侵入しようとしています。 SSHに単純なパスワードを使用しないでください。実際には、パスワードをすべて無効にし、SSHキーのみを使用することをお勧めします。
「「侵入の試みの可能性」とはどういう意味ですか?」
これは、ネットブロックの所有者が範囲内の静的IPのPTRレコードを更新せず、そのPTRレコードが古いことを意味します[〜#〜]または[〜#〜]ISPは、動的IP顧客に対して適切な逆引きレコードを設定しません。これは、大規模なISPであっても非常に一般的です。
(上記の理由の1つが原因で)不適切なPTRレコードのあるIPから来た誰かが一般的なユーザー名を使用してサーバーへのSSHを試行しているため(ブルートフォース攻撃またはおそらく正直な間違い)、ログにメッセージが表示されます)。
これらのアラートを無効にするには、2つの選択肢があります:
1)静的IPがある場合、リバースマッピングを/ etc/hostsファイルに追加します(詳細は こちら を参照) ):
10.10.10.10 server.remotehost.com
2)動的IPを使用していて、これらのアラートを削除したい場合は、/ etc/ssh /の「GSSAPIAuthentication yes」をコメント化してください。 sshd_configファイル。
Sshd_config(UseDNS no)で 逆ルックアップをオフにする を使用すると、ログを読みやすく、確認しやすくなります。これにより、sshdが「POSSIBLE BREAK-IN ATTEMPT」を含む「ノイズ」行をログに記録するのを防ぎ、「IPADDRESSからの無効なユーザーUSER」を含む少し興味深い行に集中することができます。
ログインに成功する必要はありませんが、「可能」および「試行」と書かれています。
一部の不良少年またはスクリプトキディが、偽のOrigin IPで細工されたトラフィックを送信しています。
SSHキーにOrigin IPの制限を追加して、fail2banなどを試すことができます。