Недавно я открыл порт SSH через свои брандмауэры (и перенаправил на свой сервер), чтобы я мог проверять (http) сервер в дороге. Первые недели или две не было ничего особенного. Но теперь, три или четыре недели спустя, я вижу много такого:
Mar 20 08:38:28 localhost sshd[21895]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root
Mar 20 08:38:31 localhost sshd[21895]: Failed password for root from 207.210.101.209 port 2854 ssh2
Mar 20 15:38:31 localhost sshd[21896]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 08:38:32 localhost unix_chkpwd[21900]: password check failed for user (root)
Mar 20 08:38:32 localhost sshd[21898]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root
Mar 20 08:38:34 localhost sshd[21898]: Failed password for root from 207.210.101.209 port 3729 ssh2
Mar 20 15:38:35 localhost sshd[21899]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 08:38:36 localhost unix_chkpwd[21903]: password check failed for user (root)
Mar 20 08:38:36 localhost sshd[21901]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root
Mar 20 08:38:38 localhost sshd[21901]: Failed password for root from 207.210.101.209 port 4313 ssh2
Mar 20 15:38:38 localhost sshd[21902]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 08:38:40 localhost unix_chkpwd[21906]: password check failed for user (root)
Mar 20 08:38:40 localhost sshd[21904]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root
Mar 20 08:38:42 localhost sshd[21904]: Failed password for root from 207.210.101.209 port 4869 ssh2
Mar 20 15:38:43 localhost sshd[21905]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 08:38:44 localhost unix_chkpwd[21909]: password check failed for user (root)
Mar 20 08:38:44 localhost sshd[21907]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root
Mar 20 08:38:46 localhost sshd[21907]: Failed password for root from 207.210.101.209 port 2512 ssh2
Mar 20 15:38:47 localhost sshd[21908]: Received disconnect from 207.210.101.209: 11: Bye Bye
Mar 20 15:38:57 localhost sshd[21912]: Connection closed by 207.210.101.209
Их около 1100 строк на 20 марта, ноль на 19 марта и около 800 строк на 18 марта - все они относятся к одному IP.
Что это означает? Что я должен делать? Почему не в хронологическом порядке?
Это попытки малыша-скрипта получить root на вашем компьютере через ssh. Я нашел лучший способ справиться с этим:
Новички будут рассказывать о том, как установка порта на другой номер обеспечивает безопасность через неизвестность. Да и нет. Это не сделает ваш ящик более безопасным, но резко сократит количество скриптовых попыток взломать ssh.
Редактировать:
Другие полезные вещи - отключить вход в систему с правами root на тот случай, если они угадывают ваш пароль root, или вообще отключить аутентификацию по паролю и использовать аутентификацию на основе ключей.
Техника называется стук порта может использоваться, что позволяет вам держать ваш порт ssh закрытым до тех пор, пока вы не запрошены (извне).
Приведенные выше ответы объясняют, почему вы получаете много попыток аутентификации на своем SSH-сервере.
Что касается вопроса «Почему не в хронологическом порядке?», Похоже, у вас проблемы с настройкой часового пояса. Все журналы кажутся последовательными, только в разные часы (минуты и секунды совпадают).
Попробуйте запустить:
sudo dpkg-reconfigure tzdata