Yanıtlar:
Tüm giriş denemeleri günlüğe kaydedilir /var/log/auth.log
.
Bir terminal açın ve aşağıdakini yazın; 1 sayfadan uzunsa, yukarı ve aşağı kaydırma yapabileceksiniz; yazın q
çıkmak için:
grep sshd.\*Failed /var/log/auth.log | less
İşte benim VPS biriyle gerçek bir örnek:
18 Ağustos 11:00:57 izxvps sshd [5657]: 95.58.255.62 bağlantı noktası 38980 ssh2'den kök şifresi başarısız oldu Ağu 18 23:08:26 izxvps sshd [5768]: 91.205.189.15 port 38156 ssh2'den root için şifre başarısız oldu Ağu 18 23:08:30 izxvps sshd [5770]: 91.205.189.15 port 38556 ssh2'den kimse için şifre başarısız oldu 18 Ağustos 23:08:34 izxvps sshd [5772]: 91.205.189.15 18 Ağustos 23:08:38 izxvps sshd [5774]: 91.205.189.15 Ağu 18 23:08:42 izxvps sshd [5776]: 91.205.189.15 bağlantı noktası 39467 ssh2'den kök şifresi başarısız oldu
Bu komutu kullanın:
grep sshd.*Did /var/log/auth.log | less
Örnek:
Ağu 5 22:19:10 izxvps sshd [7748]: 70.91.222.121'den kimlik dizesi gelmedi 10 Ağustos 19:39:49 izxvps sshd [1919]: 50.57.168.154'ten bir kimlik dizesi almadı 13 Ağustos 23:08:04 izxvps sshd [3562]: 87.216.241.19'dan kimlik dizesi gelmedi 17 Ağustos 15:49:07 izxvps sshd [5350]: 211.22.67.238'den kimlik dizesi gelmedi 19 Ağustos 06:28:43 izxvps sshd [5838]: 59.151.37.10'dan kimlik dizesi alınmadı
/var/log/secure
systemctl -eu sshd
Günlükleri izlemenin, özellikle bir hesapta zayıf bir parolanız varsa, zayıf bir çözüm olduğunu savunuyorum. Brute girişimleri genellikle dakikada en az yüzlerce anahtar dener. Eğer kaba teşebbüs girişimlerinde size e-posta gönderecek bir cron işiniz olsa bile, sunucunuza ulaşmanız saatler olabilir.
Şiddetle tavsiye ederim fail2ban
. Wiki’leri benden daha iyi ne yaptığını söylüyor.
Fail2ban, günlük dosyalarını tarar (örn.
/var/log/apache/error_log
) Ve kötü niyetli işaretleri gösteren IP'leri yasaklar - çok fazla şifre hatası, istismar aramaları vb. isteğe bağlı diğer işlemler (örneğin, bir e-posta göndermek veya CD-ROM tepsisini çıkarmak) da yapılandırılabilir. Kutudan çıkan Fail2Ban, çeşitli servisler (apache, curier, ssh, vb.) İçin filtrelerle birlikte gelir.
Ondan koruma almak kadar basit sudo apt-get install fail2ban
.
Birisi üç başarısız girişimde bulunur bulunmaz, varsayılan olarak, IP’leri beş dakikalık bir yasak alır. Bu tür bir gecikme, bir SSH kaba kuvvet girişimini temelde durdurur, ancak şifrenizi unutursanız gününüzü mahvedemez (ancak yine de anahtarları kullanıyor olmalısınız!)