Başarısız SSH oturum açma girişimlerini nasıl takip ederim?

134

Birisinin SSH üzerinden Ubuntu 12.04 sunucuma kaba kuvvetle giriş yapmaya çalışıp çalışmadığını görmek istiyorum. Bu tür etkinliklerin gerçekleştiğini nasıl görebilirim?

ssh  security  log 
Ivan
kaynak

Yanıtlar:

150

Tüm giriş denemeleri günlüğe kaydedilir /var/log/auth.log.

1. kaba kuvvet interaktif SSH girişleri için filtre

Bir terminal açın ve aşağıdakini yazın; 1 sayfadan uzunsa, yukarı ve aşağı kaydırma yapabileceksiniz; yazın qçıkmak için:

grep sshd.\*Failed /var/log/auth.log | less

  • İşte benim VPS biriyle gerçek bir örnek:

    18 Ağustos 11:00:57 izxvps sshd [5657]: 95.58.255.62 bağlantı noktası 38980 ssh2'den kök şifresi başarısız oldu
Ağu 18 23:08:26 izxvps sshd [5768]: 91.205.189.15 port 38156 ssh2'den root için şifre başarısız oldu
Ağu 18 23:08:30 izxvps sshd [5770]: 91.205.189.15 port 38556 ssh2'den kimse için şifre başarısız oldu
18 Ağustos 23:08:34 izxvps sshd [5772]: 91.205.189.15
18 Ağustos 23:08:38 izxvps sshd [5774]: 91.205.189.15
Ağu 18 23:08:42 izxvps sshd [5776]: 91.205.189.15 bağlantı noktası 39467 ssh2'den kök şifresi başarısız oldu

2. Başarısız olan bağlantıları arayın (örneğin, oturum açma girişimi yok, port tarayıcı vb. Olabilir):

Bu komutu kullanın:

grep sshd.*Did /var/log/auth.log | less

  • Örnek:

    Ağu 5 22:19:10 izxvps sshd [7748]: 70.91.222.121'den kimlik dizesi gelmedi
10 Ağustos 19:39:49 izxvps sshd [1919]: 50.57.168.154'ten bir kimlik dizesi almadı
13 Ağustos 23:08:04 izxvps sshd [3562]: 87.216.241.19'dan kimlik dizesi gelmedi
17 Ağustos 15:49:07 izxvps sshd [5350]: 211.22.67.238'den kimlik dizesi gelmedi
19 Ağustos 06:28:43 izxvps sshd [5838]: 59.151.37.10'dan kimlik dizesi alınmadı

Başarısız / kaba kuvvet giriş denemesi nasıl azaltılır

  • SSH'nizi standart olmayan bir bağlantı noktasına varsayılan 22
  • Veya fail2ban gibi bir otomatik yasaklama betiği yükleyin Fail2ban yükleyin.
imsi
kaynak
4
SSH portunu değiştirmekte ne kadar güvenlik alıyorsunuz (sadece bahsettiğiniz gibi sizi taramıyorlar mı?) Ve meşru kullanıcılar için bu küçük kullanılabilirlik avantajına değer mi?
Nick T,
8
@NickT oturum açma girişimlerini önemli ölçüde azaltmak için yeterli olduğu ortaya çıkıyor. Bir haftada / günde binlerce girişimde bulunduğum yerde, şimdiye dek sadece limanı değiştirerek geçen ay hiçbir şey yapmadım.
AntoineG
2
Şifre ile giriş yapmayı reddetmenin de yardımcı olabileceğini düşünüyorum.
Luc M,
2
Bunun ubuntu olduğunu biliyorum, sadece centos gibi bazı sistemlerde dosya yolunun olduğunu /var/log/secure
söylemek istedim
Bazı sistemler günlüğe systemctl -eu sshd
erişir
72

Günlükleri izlemenin, özellikle bir hesapta zayıf bir parolanız varsa, zayıf bir çözüm olduğunu savunuyorum. Brute girişimleri genellikle dakikada en az yüzlerce anahtar dener. Eğer kaba teşebbüs girişimlerinde size e-posta gönderecek bir cron işiniz olsa bile, sunucunuza ulaşmanız saatler olabilir.

Halka açık bir SSH sunucunuz varsa, saldırıya uğramadan çok önce başlayacak bir çözüme  ihtiyacınız var .

Şiddetle tavsiye ederim fail2ban. Wiki’leri benden daha iyi ne yaptığını söylüyor.

Fail2ban, günlük dosyalarını tarar (örn. /var/log/apache/error_log) Ve kötü niyetli işaretleri gösteren IP'leri yasaklar - çok fazla şifre hatası, istismar aramaları vb. isteğe bağlı diğer işlemler (örneğin, bir e-posta göndermek veya CD-ROM tepsisini çıkarmak) da yapılandırılabilir. Kutudan çıkan Fail2Ban, çeşitli servisler (apache, curier, ssh, vb.) İçin filtrelerle birlikte gelir.

Ondan koruma almak kadar basit sudo apt-get install fail2ban.

Birisi üç başarısız girişimde bulunur bulunmaz, varsayılan olarak, IP’leri beş dakikalık bir yasak alır. Bu tür bir gecikme, bir SSH kaba kuvvet girişimini temelde durdurur, ancak şifrenizi unutursanız gününüzü mahvedemez (ancak yine de anahtarları kullanıyor olmalısınız!)

Oli
kaynak
6
Neden buna yasaklanma deniyor?
Pacerier
9
@Pacerier Bazı analojilerde, oturum açma hatası (2) yasağa neden oluyor.
Sebi
2
Bwahaha, günümü @Pacerier'de yaptınız. Ben bunu gerçek anlamıyla bir "yasaklama başarısızlığı" olarak düşünmedim.
adelriosantiago
1
Bunun ilk cümleden "özellikle" kaldırmak için düzenlenmesi gerektiğini düşünüyorum. Bu var sadece zayıf bir şifre varsa bir sorun. Güçlü şifreler hiçbir koşulda zorla uygulanamaz ve insanların denemelerini engellemenin tek nedeni sunucu yükünü azaltmaktır.
Abhi Beckert
Kesinlikle katılıyorum. Her neyse, iyi bir sunucu yükünü engellemek tamam olacak. Milisaniye oranlarında girişimler gördüm
Diego Andrés Díaz Espinoza
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.