인증 로그 이해

인증 로그 이해

해킹된 것처럼 보이는 일부 로그 항목이 있습니다.

유형 1

Dec 26 03:09:01 ... CRON[9271]: pam_unix(cron:session): session closed for user root
Dec 26 03:17:01 ... CRON[9308]: pam_unix(cron:session): session opened for user root by (uid=0)

유형 2

Dec 26 03:27:11 ... sshd[9364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.217.235.5  user=root
Dec 26 03:27:12 ... sshd[9364]: Failed password for root from 60.217.235.5 port 47933 ssh2

이것은 무엇을 의미합니까? 일반적으로 5개 단위로 사용됩니다. 나는 그것을 가능하게 했다 ufw limit ssh. 그래서 나는 UFW가 그것을 짓밟고 있다고 생각한다. 그런데 2가지 종류, 1개의 인증 실패, 1개의 세션이 종료된 이유를 알고 싶습니다.

denyhostsSSH 포트를 사용하고 변경하고 루트 로그인을 비활성화하여 이에 응답해야 한다고 생각합니까? 또 무엇을 할 수 있나요? 지난번에 거부 호스트를 사용했을 때 나도 차단되었습니다. 또한 UFW 재시도 시간을 늘릴 수 있나요? 예를 들어 1시간 후에만 로그인을 허용하시겠습니까? 로그인 시도를 3번으로 줄일 수 있을까요?

답변1

이미 언급했듯이 첫 번째 유형은 SSH와 관련된 어떤 것에서도 나오지 않으며, 해롭지는 않지만 일반적인 cron 데몬의 활동 로그입니다. 두 번째는 해커의 로그인 시도일 수 있으며 이를 따라야 합니다. denyhosts도움이 될 수도 있지만 루트 로그인 가능성을 비활성화하는 것도 매우 좋은 생각입니다.와는 별개로 denyhosts, 아니요바꾸다! )

답변2

에서 온 소식크로나정상적인 활동을 기록합니다. 이는 루트에 의해 실행되는 예약된 작업입니다(매시간 또는 매일).

SSH의 메시지는 누군가가 루트로 로그인을 시도하고 있음을 나타냅니다. 일부 봇은 임의의 주소를 시도하고 취약한 비밀번호로 로그인을 시도하거나 보안 허점을 이용하려고 시도합니다. 대부분의 사람들은 이러한 시도를 무시할 수 있으며, 간단한 위생을 관찰하기만 하면 됩니다.

  • /etc/sshd_config설정 ( /etc/ssh/sshd_config배포판에 따라 또는 유사한 위치) 을 통해 비밀번호 인증을 완전히 비활성화하거나 PasswordAuthentication No시스템의 모든 사용자가 강력한 비밀번호(사전 단어나 단순한 비밀번호 변형이 아님)를 가지고 있는지 확인하십시오.
  • SSH 서버가 최신 상태인지 확인하세요(알려진 보안 취약점이 없음).

이러한 시도가 대역폭, CPU 또는 로그 공간의 대부분을 차지하는 경우 더 제한적인 조치를 구현할 수 있지만 SSH를 제한하면 언젠가는 차단될 수 있다는 점에 유의하세요. 포트를 변경하면 대부분의 봇이 귀하를 볼 수 없게 되지만(더 이상 가장 쉬운 대상이 아닙니다), 다음과 같은 경우에는 일부 방화벽을 통해 로그인하지 못할 수도 있습니다(정말로 포트를 변경하고 싶지만 그렇지 않은 경우). HTTPS 서버를 실행하는 경우 대부분의 방화벽은 HTTPS를 허용하고 SSH와 구별할 수 없으므로 443은 괜찮습니다. Denyhost는 시도 횟수를 줄입니다.포트 노크또 다른 방법이 있지만 그다지 유용하지는 않습니다. 엄격한 방화벽으로 보호되지 않는 자신이 제어하는 ​​컴퓨터에서만 로그인할 수 있으며 이점도 다소 적습니다.

답변3

"포트 노킹"이라는 방법을 사용할 수 있습니다.

구글 "iptables 포트 노크".

외부 세계에서는 SSH 서버가 실행되지 않는 것처럼 보입니다.

관련 정보