У меня есть сервер под управлением Debian 6.0 с установленным logcheck. Вчера назад я получил это сообщение:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
Я не знаю, кто это, и сомневаюсь, что он случайно оказался там.
Что мне теперь делать?
Первым делом я отключил аутентификацию по паролю ssh и переключился на открытый / закрытый ключ. Я также проверяю файл authorized_keys и вижу только свой открытый ключ
Что дальше?
Как я могу узнать, что другой парень сделал на моей машине?
Я считаю, что это ошибка, которая существует в течение слишком долго что исправлено в более поздних версиях (6.0p1).
Это должно быть довольно легко проверить, попробовав самостоятельно подключиться к системе с хоста, который будет ограничен, используя другой ключ и посмотрев, какие сообщения вы получаете.
это мощь быть давняя ошибка в OpenSSH что было только исправлено в 6.0p1. В таком случае вы можете проигнорировать это. Однако, если вы хотите быть в безопасности, исходный ответ (при условии, что эта ошибка вас не затронула):
Ваши закрытые ключи ssh, вероятно, были скомпрометированы, поскольку у кого-то был действующий закрытый ключ для входа в вашу учетную запись root. Тот факт, что кто-то не вошел в систему с разрешенного IP-адреса, спас вас от дальнейшего взлома. Тем не менее, это существенный компромисс; он предполагает, что ваша рабочая станция (или другая машина, с которой вы обычно работаете) была взломана.
Вы должны относиться к каждой рабочей станции и серверу, к которым вы прикасаетесь, как к потенциально взломанным. Отформатируйте и переустановите вашу рабочую станцию (а). Отозвать / уничтожить все существующих ключей ssh и повторно введите все. Смените все пароли. Настоятельно рекомендуется стереть и переустановить все серверы, к которым у вас есть доступ для входа с этим ключом.