Вопрос Как отслеживать неудачные попытки входа в систему SSH?


Я хотел бы узнать, пытался ли кто-нибудь входить в систему с помощью грубой силы в мой сервер Ubuntu 12.04 через SSH. Как я могу узнать, происходят ли такие действия?


124
2017-08-20 06:32


происхождения




ответы:


Все попытки входа в систему регистрируются в /var/log/auth.log,

1. Фильтр для интерактивных логинов SSH для принудительной загрузки

Откройте терминал и введите следующее: если он длиннее 1 страницы, вы сможете прокручивать вверх и вниз; тип q выйти:

grep sshd.\*Failed /var/log/auth.log | less
  • Вот реальный пример из одного из моих VPS:

    18 августа 11:00:57 izxvps sshd [5657]: сбой пароля для root из 95.58.255.62 порт 38980 ssh2
    Aug 18 23:08:26 izxvps sshd [5768]: Не удалось пароль для root из 91.205.189.15 порт 38156 ssh2
    Aug 18 23:08:30 izxvps sshd [5770]: Неудачный пароль для никого из 91.205.189.15 порт 38556 ssh2
    Aug 18 23:08:34 izxvps sshd [5772]: сбой пароля для неверной пользовательской звездочки от 91.205.189.15 порт 38864 ssh2
    Aug 18 23:08:38 izxvps sshd [5774]: сбой пароля для неверного пользователя sjobeck от 91.205.189.15 порт 39157 ssh2
    Aug 18 23:08:42 izxvps sshd [5776]: сбой пароля для root из 91.205.189.15 порт 39467 ssh2
    

2. Ищите неудавшиеся связи (т. е. попытки входа в систему не могли быть сканером портов и т. д.):

Используйте эту команду:

grep sshd.*Did /var/log/auth.log | less
  • Пример:

    Aug 5 22:19:10 izxvps sshd [7748]: Не получил идентификационную строку от 70.91.222.121
    Aug 10 19:39:49 izxvps sshd [1919]: не получил идентификационную строку от 50.57.168.154
    Aug 13 23:08:04 izxvps sshd [3562]: Не получил идентификационную строку от 87.216.241.19
    Aug 17 15:49:07 izxvps sshd [5350]: Не получил идентификационную строку от 211.22.67.238
    Aug 19 06:28:43 izxvps sshd [5838]: Не получил идентификационную строку от 59.151.37.10
    

Как уменьшить попытки входа в систему с ошибкой / грубой силой

  • Попробуйте переключить SSH на нестандартный порт по умолчанию 22
  • Или установите сценарий автоматического запрета, например fail2banInstall fail2ban,

139
2017-08-20 06:48



Как много безопасности вы получаете при переключении SSH-порта (разве они не могут просто сканировать вас в любом случае, как вы упоминаете), и стоит ли этого незначительного юзабилити для законных пользователей? - Nick T
@NickT оказывается достаточно, чтобы значительно уменьшить попытки входа в систему. Где я получаю тысячи попыток в неделю / день, до сих пор у меня их не было в течение последнего месяца, просто переключив порт. - AntoineG
Я думаю, что запрет входа с паролем может также помочь. - Luc M
Я знаю, что это ubuntu, просто хотел упомянуть, что на некоторых системах, таких как centos, путь к файлу /var/log/secure - lfender6445
Некоторые системы получают доступ к журналу с помощью systemctl -eu sshd - alecdwm


Я бы сказал, что журналы мониторинга являются слабым решением, особенно если у вас слабый пароль в учетной записи. Жесткие попытки часто пытаются использовать по меньшей мере сотни ключей в минуту. Даже если у вас задание cron задано для отправки вам по электронной почте грубых попыток, это может за несколько часов до того, как вы доберетесь до своего сервера.

Если у вас есть SSH-сервер с открытым доступом, вы необходимость решение, котороедлинный прежде чем вас могут взломать.

Я бы настоятельно рекомендовал fail2ban, Их вики говорит, что он делает лучше, чем я могу.

Fail2ban сканирует файлы журнала (например, /var/log/apache/error_log) и запрещает IP-адреса, которые показывают вредоносные знаки - слишком много сбоев паролей, поиск эксплойтов и т. д. Обычно Fail2Ban используется для обновления правил брандмауэра, чтобы отклонять IP-адреса в течение определенного времени, хотя любое произвольное другое действие (например, отправка электронное письмо или извлечение лотка для CD-ROM) также можно настроить. Вне коробки Fail2Ban поставляется с фильтрами для различных сервисов (apache, curier, ssh и т. Д.).

Получение защиты от него так же просто, как и sudo apt-get install fail2ban,

По умолчанию, как только у кого-то есть три неудачных попытки, их IP получает пятиминутный запрет. Такая задержка по существу останавливает попытку грубой силы SSH, но она не разрушит ваш день, если вы забудете свой пароль (но вы все равно должны использовать ключи!)


67
2017-08-23 09:12



Почему это называется неспособность запретить? - Pacerier
@Pacerier Ну с некоторой аналогией, неудача входа приводит к (2) запрету. - Sebi
Бвахаха, ты сделал мой день @ Пожиратель Я никогда не думал об этом как о буквальном «неспособности запретить». - adelriosantiago
Я думаю, что это нужно отредактировать, чтобы удалить «особенно» из первого предложения. Это только проблема, если у вас слабый пароль. Сильные пароли не могут быть грубыми принуждены ни при каких обстоятельствах, и единственная причина, почему люди не пытаются это сделать, - уменьшить нагрузку на сервер. - Abhi Beckert