উবুন্টু / সম্ভাব্য আক্রমণ

আমার সাথে সার্ভারে /var/log/auth.log ইন ইন্টারনেটের সাথে সংযুক্ত আমার নিম্নলিখিতটি রয়েছে:

Jul  6 10:04:17 ubuntu sshd[28207]: Connection from 221.111.75.119 port 48921
Jul  6 10:04:19 ubuntu sshd[28207]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=softbank221111075119.bbtec.net  user=root
Jul  6 10:04:20 ubuntu sshd[28207]: Failed password for root from 221.111.75.119 port 48921 ssh2
Jul  7 17:00:40 ubuntu sshd[2185]: Connection from 41.238.117.10 port 4555
Jul  7 17:00:42 ubuntu sshd[2185]: reverse mapping checking getaddrinfo for host-41.238.117.10.tedata.net [41.238.117.10] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul  7 17:00:42 ubuntu sshd[2185]: Failed none for root from 41.238.117.10 port 4555 ssh2

এবং বিভিন্ন বন্দর সহ আরও অনেক লগইন চেষ্টা করে। আমি একটি রাউটারের পিছনে আছি, যার উপরে আমি আমার উবুন্টু সার্ভারের জন্য কেবলমাত্র ডিফল্ট এসএস পোর্ট (পোর্ট ফরওয়ার্ডিং সহ) সক্ষম করেছিলাম, তবে এই পোর্টগুলি অুথ.লগে কেন? রাউটারে কোনও ডিএমজেড সক্ষম নয়।

এই উত্স বন্দরগুলি থেকে সংযোগটি আসে, আপনার গন্তব্য ssh বন্দর নয়।

যতক্ষণ আপনি স্ট্যান্ডার্ড পোর্টটিতে (22) খোলা থাকবে, আপনি এই ধরণের স্বয়ংক্রিয় আক্রমণ পাবেন। যদি এটি আপনাকে বিরক্ত করে, আপনি আপনার এসএস সার্ভারটিকে অন্য এলোমেলো বন্দরে সরিয়ে নিতে পারেন (/ etc / ssh / sshd_config এ পোর্ট নির্দেশিকা ব্যবহার করুন এবং আপনার রাউটারের পরিবর্তনটি প্রতিবিম্ব করুন)।

আপনি ব্যর্থ প্রচেষ্টার পরে অনেকগুলি ব্যর্থতার পরে এগুলি স্বয়ংক্রিয়ভাবে ব্লক করতে ব্যর্থ 2ban এর মতো কিছু ব্যবহার করতে পারেন। তবে যদি এটি বেশ কয়েকটি হোস্টের কাছ থেকে আসে, যেমন মনে হয় এটি এখানে (সম্ভবত কিছু বোটনেট আক্রমণ) ঘটেছে, ফেলফল 2 কার্যকর হবে না।

বুলেট-প্রুফ এসএসএইচ সার্ভারটি দেখতে পাওয়া উচিত:

1. নন-স্ট্যান্ডার্ড বন্দর
2. প্রমাণীকরণের জন্য শুধুমাত্র ব্যক্তিগত কী
3. আইপি এর নিষিদ্ধ করতে Fail2ban যা প্রমাণীকরণে ব্যর্থ হয়, আসুন একটানা 5 বার বলি

ভাল ঘুম :-)