我在我的服务器上安装了OSSEC,并且已经收到类似以下的报告:
Jan 11 19:27:03爸爸sshd [14459]:pam_unix(sshd:auth):authentication失败; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 58.215.184.93 user = root
Jan 11 19:26:54爸爸sshd [14457]:pam_unix(sshd:auth):authentication失败; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 58.215.184.93 user = root
每封电子邮件重复约10次。 到目前为止,没有一天,OSSEC的这些电子邮件中没有3封或4封。 当然,我最初的情绪有点愤怒,“他们怎么敢试图侵入我的箱子!” 但是我想这就是现在“净”的状态。 有一天我也有人尝试与用户斌
我也收到了这个消息:
Jan 12 02:04:07爸爸sshd [16109]:反向映射检查getaddrinfo为static-52-53.mk-net.ru [91.211.52.53]失败 – 可能的破碎在尝试!
(再次,多次重复)
我知道至less有一个来自freenode的反向映射的良性来源,当他们试图确保你不是一个可能的僵尸networking,但我没有去检查这个来源。
我们对漏洞问题非常敏感,特别是以前的服务器(可能)通过phpMyAdmin被黑客入侵。
所以显然任何build议/资源保护我们的服务器将不胜感激,但我的主要问题是这样的:我们应该担心这些磨合尝试? root用户没有密码(login被禁用),所以忽略这些login失败是安全的吗? 还有什么我可以或应该做的,以限制沿这条道路可能的漏洞? 这个系统在路由器后面,只有必要的(例如我们使用的服务)端口打开(ssh,apache和postfix)。
是的,如果通过SSH进行rootlogin被禁用,那么你肯定可以忽略根失败的尝试 – 而反向DNS失败是不值得担心的; 他们很可能来自攻击者,但这只是他们的ISP不一致的configuration。
如果你想睡得更好,看一下fail2ban – 它可以设置为在重复失败后临时阻止攻击者的IP地址。
我应该担心吗? 只有当你不确定如何保证。
使用SSH,安全性的最高forms是强制密钥和密码短语login。
您可以显着减less(但不是停止)SSHlogin尝试,但将端口号从默认值22更改为其他值。 它没有任何东西来加强安全性,但是它推迟了很多探测公共端口号的自动探测器,以查看是否有监听服务。
如果可行,只允许通过使用防火墙规则从已知位置的TCP连接到端口22。 否则,有方法阻止/防火墙closures来自这些位置的几次失败的连接尝试。 fail2ban是这样一个脚本(正如Shane已经提到的那样)。 我可以推荐它,因为我之前使用过它。