GNU/Linux >> Linux Esercitazione >  >> Linux

POSSIBILE TENTATIVO DI EFFRAZIONE! in /var/log/secure — cosa significa?

Soluzione 1:

Purtroppo questo in ora un evento molto comune. Si tratta di un attacco automatico a SSH che utilizza nomi utente "comuni" per tentare di entrare nel sistema. Il messaggio significa esattamente quello che dice, non significa che sei stato violato, solo che qualcuno ci ha provato.

Soluzione 2:

La parte "POSSIBILE TENTATIVO DI EFFRAZIONE" nello specifico è correlata alla parte "verifica mappatura inversa getaddrinfo non riuscita". Significa che la persona che si stava connettendo non aveva il DNS forward e reverse configurato correttamente. Questo è abbastanza comune, specialmente per le connessioni ISP, da cui probabilmente proveniva l'"attacco".

Non correlato al messaggio "POSSIBILE TENTATIVO DI INFRAZIONE", la persona sta effettivamente tentando di entrare utilizzando nomi utente e password comuni. Non utilizzare password semplici per SSH; in effetti l'idea migliore è disabilitare del tutto le password e utilizzare solo chiavi SSH.

Soluzione 3:

"Cosa significa esattamente "POSSIBILE TENTATIVO DI EFFRAZIONE"?"

Ciò significa che il proprietario del netblock non ha aggiornato il record PTR per un IP statico all'interno del suo intervallo e che detto record PTR è obsoleto, OPPURE un ISP non imposta record inversi appropriati per i suoi clienti con IP dinamico. Questo è molto comune, anche per i grandi ISP.

Finisci per ricevere il messaggio nel tuo registro perché qualcuno proveniente da un IP con record PTR impropri (a causa di uno dei motivi di cui sopra) sta cercando di utilizzare nomi utente comuni per provare SSH nel tuo server (possibilmente attacco bruteforce, o forse un errore onesto ).

Per disattivare questi avvisi, hai due possibilità:

1) Se hai un IP statico , aggiungi la tua mappatura inversa al tuo file /etc/hosts (vedi maggiori informazioni qui):

10.10.10.10 server.remotehost.com

2) Se hai un IP dinamico e vuoi davvero far sparire quegli avvisi, commenta "GSSAPIAuthentication yes" nel tuo file /etc/ssh/sshd_config.

Soluzione 4:

Puoi semplificare la lettura e il controllo dei log disattivando le ricerche inverse in sshd_config (UseDNS no). Ciò impedirà a sshd di registrare le righe "rumore" contenenti "POSSIBILE TEMPO DI EFFRAZIONE" lasciandoti concentrare sulle righe leggermente più interessanti contenenti "UTENTE utente non valido da IPADDRESS".

Soluzione 5:

Non è necessario un login andato a buon fine, ma quello che dice "possibile" e "tentativo".

Qualche cattivo ragazzo o script kiddie ti sta inviando traffico creato con un IP di origine falsa.

Puoi aggiungere limitazioni IP di origine alle tue chiavi SSH e provare qualcosa come fail2ban.


Linux
  1. In che modo Linux gestisce più separatori di percorsi consecutivi (/home////nomeutente///file)?

  2. Cosa significa questo output di Xev?

  3. Cosa significa /proc/loadavg 'S "utilizzo della CPU e dell'Io"?

  4. Linux:cosa significa la lettera "u" in /dev/urandom?

  5. "e:Il sottoprocesso /usr/bin/dpkg ha restituito un codice di errore (1)" Cosa significa?

Cosa significa questo avviso?

Cosa significa - in questo comando Linux?

sintassi del file di configurazione logrotate:sono possibili più voci jolly?

Cosa significa l'opzione sw in /etc/fstab?

Cosa significa la lettera 'u' in /dev/urandom?

I siti web dovrebbero vivere in /var/ o /usr/ in base all'utilizzo consigliato?