संभावित SSH सुरक्षा समस्या?

4

मैंने अभी अपनी FreeBSD मशीन पर एक 'netstat -a' किया था। मैंने निम्नलिखित की खोज की:

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 40 turban.ssh host90.embarqser.60230 ESTABLISHED
tcp4 0 0 turban.ssh host90.embarqser.59985 LAST_ACK
tcp4 0 0 turban.ssh host90.embarqser.47224 TIME_WAIT
tcp4 0 0 turban.ssh host90.embarqser.9304 LAST_ACK

क्या कोई मेरी मशीन घुसपैठ कर सकता है? जैसा कि आप देख सकते हैं मेरा होस्टनाम 'पगड़ी' है। मैं सिस्टम सुरक्षा के बारे में वास्तव में 'नया' हूं। क्या कोई मुझे बता सकता है?

से /var/log/auth.log, बहुत सी त्रुटियां जैसे:

4 मई 20:07:10 पगड़ी sshd [47801]: 76.7.43.90 पोर्ट 11831 ssh2 से अमान्य उपयोगकर्ता बैकअप के लिए कीबोर्ड-इंटरेक्टिव / पाम विफल

4 मई 20:07:13 पगड़ी sshd [47804]: त्रुटि: PAM: 76.7.43.90 से बिन के लिए प्रमाणीकरण त्रुटि ...

security ssh freebsd

— मर्जी
स्रोत

a netstat -anबेहतर है, नामों के बजाय IP पते देता है।

— निक

हाय मैंने एक netstat -an किया जैसा आपने सुझाव दिया था। यह मुझे पता चला है। dawhois.com/traceroute/?query=76.7.43.90 host90.embarqservices.net मेरी मशीन से जुड़ रहा है! यह संयुक्त राज्य अमेरिका का एक आईपी है। सचमुच अजीब!

— इच्छा

यह जानना मुश्किल है कि क्या आपको पोस्ट की गई जानकारी से कोई समस्या है। क्या आपने ssh के माध्यम से किसी से कनेक्ट किया? क्या आप एक sshd चला रहे हैं? क्या आप किसी को बाहर से कनेक्ट करने की अनुमति देते हैं? अंतिम (1) का आउटपुट क्या है? W (1) का आउट पुट क्या है? क्या प्रक्रियाएं (उदाहरण के लिए) "ps aux" से पता चलती हैं?

— कार्लफ़

अंतिम और डब्ल्यू उपज जो मैं पहचान सकता हूं। शायद कोई मेरी मशीन में लॉग इन करने की कोशिश कर रहा है।

— इच्छा

ठीक वही नहीं जो आप ढूंढ रहे हैं, लेकिन शायद अभी भी एक अच्छा पढ़ा: superuser.com/questions/244214/…

— ब्लडफिलिया

2

अधिक जानकारी के लिए /var/auth.log देखें।

अगर कोई आपकी मशीन तक पहुँचने की कोशिश कर रहा है तो इस फाइल में लॉग इन किया जाता है।

मेरे Andor.log से उदाहरण:

अप्रैल 24 13:53:16 मेरे सर्वर sshd [8107]: 123.123.123.123 पोर्ट 59167 ssh2 से अमान्य उपयोगकर्ता db2 के लिए विफल पासवर्ड

कनेक्टेड (SSH कनेक्शन) का IP देखने के लिए उपयोगकर्ता इसे टाइप करते हैं:

netstat -atn | egrep '(:22)' | egrep -v '(:::|0.0.0.0)' | awk '{print substr($5,0,length($5)-5)}' | sort | uniq -c

यह आपको आईपी और कनेक्शन की संख्या / आईपी दिखाएगा

— Wolfy
स्रोत

/Var/log/auth.log से, बहुत सी त्रुटियां जैसे कि मैंने नीचे क्या चिपकाया है।

— इच्छा

4 मई 20:07:10 पगड़ी sshd [47801]: 76.7.43.90 पोर्ट 11831 ssh2 से अवैध उपयोगकर्ता बैकअप के लिए विफल कीबोर्ड-इंटरेक्टिव / पीएएम 4 मई 20:07:13 पगड़ी sshd [4780464: त्रुटि: PAM: प्रमाणीकरण त्रुटि के लिए त्रुटि बिन 76.7.43.90 से

— होगा

@Will, आपको अपने प्रश्न को उस डेटा के साथ अपडेट करना चाहिए, जिसे आप यहां टिप्पणी के रूप में पोस्ट कर रहे हैं - यह दूसरों को आपकी समस्या बयान को जल्दी से समझने में मदद करेगा।

— नीक

1

संक्षिप्त उत्तर यह है कि कोई व्यक्ति आपके सिस्टम में सेंध लगाने की कोशिश कर रहा है, सबसे अधिक संभावना है कि ठेठ शब्दकोश के हमले में बदलाव के माध्यम से (यानी सामान्य उपयोगकर्ता नाम / पासवर्ड संयोजनों की कोशिश करके, केवल यादृच्छिक अनुमान लगाने के बजाय)।

@ हेंक से उत्कृष्ट सलाह के अलावा (मैं एक विशिष्ट समूह बनाता हूं, आमतौर पर sshusers, और केवल उस समूह में उपयोगकर्ताओं को लॉग इन करने की अनुमति देता हूं, उदाहरण के लिए), मैं आपके सिस्टम पर एक एसएसएच जेल स्थापित करने के साथ फेल 2बान स्थापित करने का सुझाव दूंगा । यह आपके सर्वर के खिलाफ एक बड़ी ताकत को नगण्य असंभवता के दायरे में बढ़ा देगा, क्योंकि हमलावर अपने आप को जब वे कोशिश करते हैं तो कुछ समय के लिए अचानक बंद कर देंगे; Fail2ban की निगरानी Fail2ban के हकदार के साथ यह गठबंधन एक हमले के लिए एक उन्नत प्रतिक्रिया बनाने के लिए (शुरुआत में डिफ़ॉल्ट 10 मिनट के प्रतिबंध के साथ मेरा सेट अप करें, और फिर एक पूर्ण सप्ताह यदि वे लगातार हैं), और आप बस पूरी तरह से चिंता करना बंद कर सकते हैं (बशर्ते आपके पास कम से कम पर्याप्त रूप से मजबूत पासवर्ड हो; इसके बजाय pubkeys और आप सभी लेकिन अजेय हैं!)।

— Kromey
स्रोत

1

मैं इस विशिष्ट खोज के बारे में बहुत ज्यादा चिंता नहीं करता। शायद किसी ने "करने की कोशिश की~~पोर्ट-दस्तक~~ पोर्ट-स्कैन "आपके एसएसएच-पोर्ट पर (जैसे कि एक शब्दकोश स्कैनर के साथ), लेकिन सफल नहीं हुआ क्योंकि आपको उम्मीद है कि आपके पास एक उचित पासवर्ड या केवल कुंजी-कुंजी है।

अपने ज्ञान को उज्ज्वल करने के लिए, इस ब्लॉगपोस्ट में सुधार करें एसएसएच रिमोट एक्सेस सिक्योरिटी यह देखने के लिए कि आप और क्या कर सकते हैं, esp। भाग "एसएसएच द्वारा लॉग इन करने के लिए केवल विशिष्ट उपयोगकर्ता को अनुमति दें"। और SSH के माध्यम से रूट लॉगिन की अनुमति न दें !

— हेंक
स्रोत

मुझे लगता है कि आप " port-scan" शब्द का उल्लेख करते हैं । " port-knock" शब्द का एक बहुत अलग अर्थ है ( portknocking.org एक दिलचस्प रीड होगा)।

— नीक

@ आप पूरी तरह से सही हैं! पाठ को बदल दिया (और अब नॉक में भी देख रहे हैं ( zeroflux.org/projects/knock ) अब ;-)

— हेनक

1

मेरे लॉग रूसियों से भरे हुए हैं, मेरे 22 वें बंदरगाह पर अंग्रेजी नामों की कोशिश करने वाले अमेरिकी। उनके लिए बहुत बुरा है मैं एसएसएच पोर्ट को 307 में स्थानांतरित कर दिया, और मैं एसएसएच पोर्ट खोलने के लिए पोर्ट 54321 पोर्ट पर दस्तक देता हूं।

— karatedog
स्रोत