আমি কীভাবে ব্যর্থ এসএসএইচ লগ-ইন প্রচেষ্টা ট্র্যাক রাখতে পারি?


134

আমি দেখতে চাই যে কেউ আমার উবুন্টু 12.04 সার্ভারে এসএসএইচ দিয়ে ব্রুট-ফোর্স দ্বারা লগ-ইন করার চেষ্টা করছে কিনা। আমি কীভাবে দেখতে পারি যে এই জাতীয় ক্রিয়াকলাপগুলি হয়েছে কিনা?

উত্তর:


150

সমস্ত লগইন প্রচেষ্টা লগ ইন করা হয় /var/log/auth.log

1. ব্রুট-ফোর্স ইন্টারেক্টিভ এসএসএইচ লগইনগুলির জন্য ফিল্টার

একটি টার্মিনাল খুলুন এবং নীচে টাইপ করুন; যদি এটি 1 পৃষ্ঠার বেশি হয় তবে আপনি উপরে এবং নীচে স্ক্রোল করতে সক্ষম হবেন; qপ্রস্থান করতে টাইপ করুন:

grep sshd.\*Failed /var/log/auth.log | less
  • আমার ভিপিএসগুলির একটি থেকে এখানে একটি বাস্তব উদাহরণ দেওয়া হয়েছে:

    আগস্ট 18 11:00:57 izxvps sshd [5657]: 95.58.255.62 বন্দর 38980 ssh2 থেকে মূলের জন্য ব্যর্থ পাসওয়ার্ড
    আগস্ট 18 23:08:26 izxvps sshd [5768]: 91.205.189.15 পোর্ট 38156 ssh2 থেকে রুটের জন্য ব্যর্থ পাসওয়ার্ড
    আগস্ট 18 23:08:30 izxvps sshd [5770]: 91.205.189.15 পোর্ট 38556 ssh2 থেকে কারও জন্য ব্যর্থ পাসওয়ার্ড
    আগস্ট 18 23:08:34 izxvps sshd [5772]: 91.205.189.15 বন্দর 38864 ssh2 থেকে অবৈধ ব্যবহারকারী নক্ষত্রের জন্য ব্যর্থ পাসওয়ার্ড
    আগস্ট 18 23:08:38 izxvps sshd [5774]: 91.205.189.15 বন্দর 39157 ssh2 থেকে অবৈধ ব্যবহারকারী sjobeck জন্য ব্যর্থ পাসওয়ার্ড
    আগস্ট 18 23:08:42 izxvps sshd [5776]: 91.205.189.15 বন্দর 39467 ssh2 থেকে রুটের জন্য ব্যর্থ পাসওয়ার্ড
    

২. ব্যর্থ সংযোগগুলির জন্য অনুসন্ধান করুন (যেমন লগইন করার চেষ্টা করা হয়নি, পোর্ট স্ক্যানার ইত্যাদি হতে পারে):

এই আদেশটি ব্যবহার করুন:

grep sshd.*Did /var/log/auth.log | less
  • উদাহরণ:

    আগস্ট 5 22:19:10 izxvps sshd [7748]: 70.91.222.121 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
    আগস্ট 10 19:39:49 izxvps sshd [1919]: 50.57.168.154 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
    আগস্ট 13 23:08:04 izxvps sshd [3562]: 87.216.241.19 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
    আগস্ট 17 15:49:07 izxvps sshd [5350]: 211.22.67.238 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
    আগস্ট 19 06:28:43 izxvps sshd [5838]: 59.151.37.10 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
    

কীভাবে ব্যর্থ / নৃশংস বল প্রয়োগের প্রচেষ্টা কমাতে হয়

  • ডিফল্ট 22 থেকে আপনার এসএসএইচটিকে একটি অ-মানক পোর্টে স্যুইচ করার চেষ্টা করুন
  • অথবা ব্যর্থ 2ban এর মতো একটি অটো-নিষিদ্ধ স্ক্রিপ্ট ইনস্টল করুন ব্যর্থ 2ban ইনস্টল করুন

4
এসএসএইচ পোর্টটি স্যুইচিংয়ের ক্ষেত্রে আপনি কতটা সুরক্ষা পান (আপনার উল্লেখ করার সাথে সাথে তারা কীভাবে আপনাকে স্ক্যান করতে পারে না) এবং বৈধ ব্যবহারকারীদের জন্য এটি কি ছোটখাটো ব্যবহারযোগ্যতার জন্য উপযুক্ত?
নিক টি

8
@ নিকট এটি লগইন প্রচেষ্টা উল্লেখযোগ্যভাবে হ্রাস করার জন্য যথেষ্ট হতে দেখা যাচ্ছে। যেখানে আমি এক সপ্তাহ / দিনে কয়েক হাজার চেষ্টা পেয়েছি, এখন পর্যন্ত পোর্টটি স্যুইচ করে কেবল গত একমাসে আমার কোনও কাজ হয়নি।
এন্টোইনজি

2
আমি মনে করি পাসওয়ার্ড সহ লগইন নিষ্ক্রিয় করতে সাহায্য করতে পারে।
লুক এম

2
আমি জানি এটি উবুন্টু, কেবল উল্লেখ করতে চেয়েছিলাম যে /var/log/secure
সেন্টোসের

কিছু সিস্টেম systemctl -eu sshd
লগটিতে

72

আমি যুক্তি দিয়ে বলব যে মনিটরিং লগগুলি একটি দুর্বল সমাধান বিশেষত যদি আপনার কোনও অ্যাকাউন্টে পাসওয়ার্ড দুর্বল থাকে। নিষ্ঠুর প্রচেষ্টা প্রায়শই প্রতি মিনিটে কমপক্ষে শত শত কী চেষ্টা করে। এমনকি যদি আপনার কাছে কোনও ক্রোন জব সেট রয়েছে যা আপনাকে বর্বর প্রচেষ্টার জন্য ইমেল করতে দেয় তবে আপনার সার্ভারে পৌঁছানোর কয়েক ঘন্টা আগে এটি হতে পারে।

আপনার যদি সর্বজনীন-মুখোমুখি এসএসএইচ সার্ভার থাকে, আপনার হ্যাক হওয়ার আগে আপনাকে এমন একটি সমাধানের দরকার যা খুব বেশি আগে কিক করে দেয়  ।

আমি দৃ strongly়ভাবে সুপারিশ করব fail2banতাদের উইকি বলে যা এটি আমার চেয়ে ভাল করে।

Fail2ban লগ ফাইলগুলি স্ক্যান করে (উদাহরণস্বরূপ /var/log/apache/error_log) এবং আইপিগুলিকে নিষিদ্ধ করে যা দূষিত চিহ্নগুলি দেখায় - অনেকগুলি পাসওয়ার্ড ব্যর্থতা, শোষণের সন্ধান ইত্যাদি General স্বেচ্ছাসেবী অন্যান্য ক্রিয়াকলাপ (যেমন ইমেল প্রেরণ, বা সিডি-রোম ট্রে বের করা) এছাড়াও কনফিগার করা যেতে পারে। বাক্সের বাইরে ফেইল 2 ব্যান বিভিন্ন পরিষেবার (অ্যাপাচি, কুরিয়ার, এসএস, ইত্যাদি) ফিল্টার নিয়ে আসে।

এর থেকে সুরক্ষা পাওয়া যতটা সহজ sudo apt-get install fail2ban

ডিফল্টরূপে কারও কাছে তিনটি ব্যর্থ প্রচেষ্টা হওয়ার সাথে সাথে তাদের আইপি পাঁচ মিনিটের নিষেধাজ্ঞার সুযোগ পায়। এই ধরণের দেরি মূলত একটি এসএসএইচ জোর প্রচেষ্টা চালিয়ে যায় তবে আপনি যদি নিজের পাসওয়ার্ড ভুলে যান তবে আপনার দিনটি নষ্ট হচ্ছে না (তবে আপনি যেভাবেই কীগুলি ব্যবহার করা উচিত!)


6
কেন এটি নিষিদ্ধ করতে ব্যর্থ বলা হয়?
পেসারিয়ার

9
@ পেসিয়ার ভাল কিছু উপমা দিয়ে, লগইন ব্যর্থতা (2) নিষেধাজ্ঞার দিকে পরিচালিত করে।
সেবি

2
বাওয়াহাহা আপনি আমার দিনটিকে @ পেসমিয়ার বানিয়েছেন আমি কখনই এটিকে আক্ষরিক "নিষেধাজ্ঞায় ব্যর্থতা" বলে ভাবিনি।
adelriosantiago

1
আমি মনে করি এটি প্রথম বাক্য থেকে "বিশেষত" অপসারণ করার জন্য সম্পাদনা করা উচিত। আপনার যদি দুর্বল পাসওয়ার্ড থাকে তবে এটি কেবল একটি সমস্যা। শক্তিশালী পাসওয়ার্ডগুলি যে কোনও পরিস্থিতিতে নিষ্ঠুরভাবে বাধ্য করা যায় না এবং লোকেদের চেষ্টা করা থেকে বিরত রাখার একমাত্র কারণ হ'ল সার্ভারের লোড হ্রাস করা।
অভি বেকার্ট

সম্পূর্ণভাবে একমত. যাইহোক এটি একটি উচ্চ সার্ভার লোড প্রতিরোধ করা ঠিক হবে। আমি মিলিসেকেন্ড রেট দিয়ে চেষ্টা দেখেছি
ডিয়েগো আন্দ্রে ডিয়াজ এস্পিনোজা
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.