GNU/Linux >> Znalost Linux >  >> Linux

MOŽNÝ POKUS O VLOUPENÍ! v /var/log/secure — co to znamená?

Řešení 1:

Bohužel je to v současnosti velmi častý jev. Jedná se o automatický útok na SSH, který používá „běžná“ uživatelská jména, aby se pokusil proniknout do vašeho systému. Zpráva znamená přesně to, co říká, neznamená to, že jste byli napadeni, jen to, že to někdo zkusil.

Řešení 2:

Část "MOŽNÝ POKUS O VLOUPENÍ" konkrétně souvisí s částí "Kontrola zpětného mapování getaddrinfo selhala". Znamená to, že osoba, která se připojovala, neměla správně nakonfigurované dopředné a zpětné DNS. To je docela běžné, zejména u připojení ISP, odkud pravděpodobně pocházel „útok“.

Bez souvislosti se zprávou „MOŽNÝ POKUS O VLOUPENÍ“ se daná osoba ve skutečnosti pokouší prolomit pomocí běžných uživatelských jmen a hesel. Nepoužívejte jednoduchá hesla pro SSH; ve skutečnosti je nejlepším nápadem zakázat hesla úplně a používat pouze klíče SSH.

Řešení 3:

"Co přesně znamená "MOŽNÝ POKUS O VLOUPENÍ"?"

To znamená, že vlastník síťového bloku neaktualizoval záznam PTR pro statickou IP v jejich dosahu a uvedl, že záznam PTR je zastaralý, NEBO ISP nenastavuje řádné zpětné záznamy pro své zákazníky s dynamickou IP adresou. To je velmi běžné, dokonce i u velkých ISP.

Nakonec dostanete zprávu do svého protokolu, protože někdo přicházející z IP s nesprávnými záznamy PTR (kvůli jednomu z výše uvedených důvodů) se pokouší použít běžná uživatelská jména k vyzkoušení SSH na váš server (možná brutální útok nebo možná čestná chyba ).

Chcete-li tato upozornění deaktivovat, máte dvě možnosti:

1) Pokud máte statickou IP adresu , přidejte zpětné mapování do svého souboru /etc/hosts (další informace naleznete zde):

10.10.10.10 server.remotehost.com

2) Pokud máte dynamickou IP adresu a opravdu chcete, aby tato upozornění zmizela, zakomentujte "GSSAPIAuthentication yes" ve vašem souboru /etc/ssh/sshd_config.

Řešení 4:

Čtení a kontrolu protokolů můžete usnadnit vypnutím zpětného vyhledávání v sshd_config (UseDNS no). Tím zabráníte tomu, aby sshd zaprotokoloval „šumové“ řádky obsahující „MOŽNÝ POKUS O VLOUPENÍ“, takže se budete moci soustředit na trochu zajímavější řádky obsahující „Neplatný uživatel USER z IPADDRESS“.

Řešení 5:

Není nutné úspěšné přihlášení, ale to, co říká „možné“ a „pokus“.

Nějaký zlý chlapec nebo skriptovací dítě vám posílá vytvořený provoz s falešnou původní IP.

Ke klíčům SSH můžete přidat omezení původní IP adresy a zkusit něco jako fail2ban.


Linux
  1. Co znamená „>/dev/null 2>&1“ v tomto článku Základy Crontab?

  2. „e:Dílčí proces /usr/bin/dpkg vrátil kód chyby (1) “ Co to znamená?

  3. CentOS / RHEL :Jak otočit soubory /var/log/wtmp a /var/log/btmp pomocí logrotate

  1. Co znamená - v tomto linuxovém příkazu?

  2. Django static_root v /var/www/... - žádná oprávnění ke collectstatic

  3. syntaxe konfiguračního souboru logrotate – je možné zadat více zástupných znaků?

  1. Co znamená „–“ (dvojitá pomlčka)?

  2. Měly by weby žít ve /var/ nebo /usr/ podle doporučeného použití?

  3. Systémové protokoly jsou prázdné (/var/log/messages; /var/log/secure; atd.)