Назад | Перейти на главную страницу

Странное соединение на ssh сервере

Итак, однажды я решил проверить логи ssh-сервера. Так и сделал, и нашел что-то странное
Было около 3 разных IP-адресов, пытающихся угадать пароль root? Что мне делать, если что?
PS: IP такой: 187.141.70.67, а из мексики? Остальные 2 ips были похожи и из Китая, поэтому я подумал, что это боты. Точно сказать не могу.

Извините, если это глупый вопрос. Я выключил ssh-сервер.

Вам следует сделать несколько вещей:

  1. Отключить вход в систему root через SSH (/ etc / ssh / sshd_config PermitRootLogin no)
  2. Если можно - отключите аутентификацию пароля. Оставьте только ssh-ключи auth. (/ etc / ssh / sshd_config PasswordAuthentication no)
  3. Используйте IDS (систему обнаружения вторжений). Одним из примеров может быть ossec
    http://ossec.github.io/
  4. Используйте fail2ban http://www.fail2ban.org/
  5. Вы можете интегрировать ossec с fail2ban, поэтому, если ossec обнаружит определенные шаблоны, ваш fail2ban запустится и заблокирует удаленный IP. Для базовой защиты ssh это не нужно, это скорее для более сложных случаев.