Я потерял доступ к своему экземпляру, размещенному на AWS. Keypairing перестал работать. Я отсоединил том и прикрепил его к новому экземпляру, и в журналах я обнаружил длинный список
Nov 6 20:15:32 domU-12-31-39-01-7E-8A sshd[4925]: Invalid user cyrus from 210.193.52.113
Nov 6 20:15:32 domU-12-31-39-01-7E-8A sshd[4925]: input_userauth_request: invalid user cyrus [preauth]
Nov 6 20:15:33 domU-12-31-39-01-7E-8A sshd[4925]: Received disconnect from 210.193.52.113: 11: Bye Bye [preauth]
Где "cyrus" заменен сотнями, если не тысячами общих имен и предметов. Что бы это могло быть? Атака грубой силы или еще что-то злое? Я проследил IP до Сингапура, и у меня нет связи с Сингапуром.
Мэй подумал, что это была DoS-атака, так как я потерял доступ, и сервер, похоже, перестал работать. Я не разбираюсь в этом, но идеи и решения этой проблемы приветствуются.
поскольку вы используете AWS, простой способ предотвратить попадание в Интернет по sshd на вашем компьютере - это запретить tcp / 22 в вашей группе secgroup и добавить в secgroup несколько / 32, которые действительно необходимо подключиться.
ec2-revoke [секгруппа] -P tcp -p 22 -s 0.0.0.0/0
ec2-authorize [secgroup] -P tcp -p 22 -s [ваш-ip-адрес] / 32
(вы также можете сделать это через aws gui, но это боль)
в качестве второго уровня безопасности вы можете сделать то же самое с iptables на хосте, как указано в потоке.
при выполнении одного или обоих из них tcp / 22 не будет открыт для Интернета, и ваши журналы не будут переполнены.