VPS 플랫폼에서 CentOS 5.x 상자가 실행 중입니다. 내 VPS 호스트는 연결에 대한 지원 문의를 잘못 해석했으며 일부 iptables 규칙을 효과적으로 비 웠습니다. 이로 인해 표준 포트에서 ssh를 청취하고 포트 연결 테스트를 승인했습니다. 성가신.
좋은 소식은 SSH 인증 키가 필요하다는 것입니다. 내가 알 수있는 한, 성공적인 위반이 없다고 생각합니다. 그래도 / var / log / secure에서보고있는 것에 대해 매우 걱정하고 있습니다.
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
“가능한 침입 공격”이란 정확히 무엇을 의미합니까? 성공 했습니까? 아니면 요청의 IP가 마음에 들지 않습니까?
답변
불행히도 이것은 현재 매우 흔한 일입니다. ‘공통’사용자 이름을 사용하여 시스템에 침입하려는 SSH에 대한 자동 공격입니다. 이 메시지는 정확히 말한 것을 의미하며, 당신이 해킹 당했다는 것을 의미하지 않으며 누군가가 시도했다는 것을 의미합니다.
답변
“잠재적 침입 가능성”부분은 “역방향 맵핑 점검 getaddrinfo 실패”부분과 관련이 있습니다. 연결하는 사람이 정방향 및 역방향 DNS를 올바르게 구성하지 않았 음을 의미합니다. 이는 “공격”이 시작된 ISP 연결의 경우 특히 흔합니다.
“가능한 침입 공격”메시지와 관련이없는 사람은 실제로 일반 사용자 이름과 암호를 사용하려고합니다. SSH에 간단한 비밀번호를 사용하지 마십시오. 실제로 비밀번호를 모두 비활성화하고 SSH 키만 사용하는 것이 가장 좋습니다.
답변
“”가능한 침입 공격 “이란 정확히 무엇을 의미합니까?”
이것은 netblock 소유자가 자신의 범위 내에서 고정 IP의 PTR 레코드를 업데이트하지 않았 음을 의미하며, PTR 레코드 오래된 말했다 OR 은 ISP가 동적 IP 고객을 위해 설치되지 않았 적절한 역 기록을한다. 이는 대형 ISP의 경우에도 매우 일반적입니다.
잘못된 PTR 레코드를 가진 IP에서 온 누군가 (위의 이유 중 하나로 인해) 누군가가 일반적인 사용자 이름을 사용하여 서버에 SSH를 시도하려고 시도하기 때문에 (무차별 한 공격 또는 정직한 실수 일 수 있으므로) 로그에 msg를 얻습니다. ).
이러한 경고를 비활성화하려면 다음 두 가지 중에서 선택할 수 있습니다.
1) 고정 IP가있는 경우 역방향 매핑을 / etc / hosts 파일에 추가하십시오 (자세한 내용은 여기 참조 ).
10.10.10.10 server.remotehost.com
2) 동적 IP 가 있고 이러한 경고를 없애려면 / etc / ssh / sshd_config 파일에서 “GSSAPIAuthentication yes”를 주석 처리하십시오.
답변
sshd_config (UseDNS no)에서 역방향 조회를 해제 하여 로그를보다 쉽게 읽고 확인할 수 있습니다 . 이렇게하면 sshd가 “가능한 침입 공격”을 포함하는 “노이즈”라인을 기록하지 못하게되어 “IPADDRESS의 유효하지 않은 사용자 USER”를 포함하는 약간 더 흥미로운 라인에 집중하게됩니다.
답변
성공적인 로그인이 필요하지 않지만 “가능한”및 “시도”라고 표시된 내용입니다.
일부 나쁜 소년 또는 스크립트 아동이 잘못된 출처 IP로 제작 된 트래픽을 보냅니다.
SSH 키에 오리진 IP 제한을 추가하고 fail2ban과 같은 것을 시도 할 수 있습니다.