我有一个我在Amazon Ubuntu服务器上托pipe的Web应用程序,它有一个公共IP地址 – stream量很小。
我正在观察/ var / log中的授权日志,并注意到几个如下所示,通常每天15-30次,并用不同的用户名。
Sep 9 01:15:37 ip-xx-xxx-xx-xxx sshd[24944]: Invalid user zabbix from 192.69.90.218<br> Sep 9 01:15:37 ip-xx-xxx-xx-xxx sshd[24944]: input_userauth_request: invalid user zabbix [preauth]<br> Sep 9 01:15:37 ip-xx-xxx-xx-xxx sshd[24944]: Received disconnect from 192.69.90.218: 11: Bye Bye [preauth] 其中大部分来自越南和中国。 我认为这是典型的,有人编写了一个bot来拖网和尝试login。 有关于理解日志的类似的线程,但我的问题是这样的:
这个量是否正常?我如何build立一个正常活动水平的基线?
如果我确信安全 – 而且我使用本地保存的SSH密钥 – 这些失败的请求是否有任何损害,即使随着时间的推移数量会增加?
很难说这个比率是否正常。 无论如何,在SSH默认端口上我不会感到惊讶,看到这样的机器人尝试进入,
这样做绝对没有什么不好的, 只要遵循基本的安全规则,例如仅使用SSH密钥进行身份validation,禁止使用root帐户进行访问。
如何减less请求的数量是将默认的SSH端口更改为高于1024的值。
最后,如果尝试的次数超过一个级别,或者甚至使用fail2ban,则还可以添加一个iptable规则来重置TCP级别的访问权限。 无论如何,唯一的风险是成功连接,我不会太担心失败的尝试。
是的,不幸的是,这是正常的。 我们每天都会看到像今天这样的请求,几乎每一个我们提供的面向公众的服务。
如果你使用的是公钥authentication, 而且实际上已经禁用了密码authentication ,那么它不应该真的引起问题。
您可能想使用类似fail2ban的东西来监视日志,并自动尝试过多的防火墙地址。 你也可以移动这个不安全的安全端口,但可能会减less随机login尝试的体面比例。
理想情况下,你不应该公开地向互联网公开SSH(或其他任何不需要全局访问的服务)。 我通常会将SSHlocking到特定的IP地址,或者如果我知道从任何位置或没有固定地址的位置都需要访问,则可以提供某种VPN。