আমি কীভাবে ব্যর্থ এসএসএইচ লগ-ইন প্রচেষ্টা ট্র্যাক রাখতে পারি?

আমি দেখতে চাই যে কেউ আমার উবুন্টু 12.04 সার্ভারে এসএসএইচ দিয়ে ব্রুট-ফোর্স দ্বারা লগ-ইন করার চেষ্টা করছে কিনা। আমি কীভাবে দেখতে পারি যে এই জাতীয় ক্রিয়াকলাপগুলি হয়েছে কিনা?

সমস্ত লগইন প্রচেষ্টা লগ ইন করা হয় /var/log/auth.log।

1. ব্রুট-ফোর্স ইন্টারেক্টিভ এসএসএইচ লগইনগুলির জন্য ফিল্টার

একটি টার্মিনাল খুলুন এবং নীচে টাইপ করুন; যদি এটি 1 পৃষ্ঠার বেশি হয় তবে আপনি উপরে এবং নীচে স্ক্রোল করতে সক্ষম হবেন; qপ্রস্থান করতে টাইপ করুন:

grep sshd.\*Failed /var/log/auth.log | less

• আমার ভিপিএসগুলির একটি থেকে এখানে একটি বাস্তব উদাহরণ দেওয়া হয়েছে:

  আগস্ট 18 11:00:57 izxvps sshd [5657]: 95.58.255.62 বন্দর 38980 ssh2 থেকে মূলের জন্য ব্যর্থ পাসওয়ার্ড
  আগস্ট 18 23:08:26 izxvps sshd [5768]: 91.205.189.15 পোর্ট 38156 ssh2 থেকে রুটের জন্য ব্যর্থ পাসওয়ার্ড
  আগস্ট 18 23:08:30 izxvps sshd [5770]: 91.205.189.15 পোর্ট 38556 ssh2 থেকে কারও জন্য ব্যর্থ পাসওয়ার্ড
  আগস্ট 18 23:08:34 izxvps sshd [5772]: 91.205.189.15 বন্দর 38864 ssh2 থেকে অবৈধ ব্যবহারকারী নক্ষত্রের জন্য ব্যর্থ পাসওয়ার্ড
  আগস্ট 18 23:08:38 izxvps sshd [5774]: 91.205.189.15 বন্দর 39157 ssh2 থেকে অবৈধ ব্যবহারকারী sjobeck জন্য ব্যর্থ পাসওয়ার্ড
  আগস্ট 18 23:08:42 izxvps sshd [5776]: 91.205.189.15 বন্দর 39467 ssh2 থেকে রুটের জন্য ব্যর্থ পাসওয়ার্ড
  

২. ব্যর্থ সংযোগগুলির জন্য অনুসন্ধান করুন (যেমন লগইন করার চেষ্টা করা হয়নি, পোর্ট স্ক্যানার ইত্যাদি হতে পারে):

এই আদেশটি ব্যবহার করুন:

grep sshd.*Did /var/log/auth.log | less

• উদাহরণ:

  আগস্ট 5 22:19:10 izxvps sshd [7748]: 70.91.222.121 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
  আগস্ট 10 19:39:49 izxvps sshd [1919]: 50.57.168.154 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
  আগস্ট 13 23:08:04 izxvps sshd [3562]: 87.216.241.19 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
  আগস্ট 17 15:49:07 izxvps sshd [5350]: 211.22.67.238 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
  আগস্ট 19 06:28:43 izxvps sshd [5838]: 59.151.37.10 থেকে সনাক্তকরণ স্ট্রিংটি পাননি
  

কীভাবে ব্যর্থ / নৃশংস বল প্রয়োগের প্রচেষ্টা কমাতে হয়

• ডিফল্ট 22 থেকে আপনার এসএসএইচটিকে একটি অ-মানক পোর্টে স্যুইচ করার চেষ্টা করুন
• অথবা ব্যর্থ 2ban এর মতো একটি অটো-নিষিদ্ধ স্ক্রিপ্ট ইনস্টল করুন ।

আমি যুক্তি দিয়ে বলব যে মনিটরিং লগগুলি একটি দুর্বল সমাধান বিশেষত যদি আপনার কোনও অ্যাকাউন্টে পাসওয়ার্ড দুর্বল থাকে। নিষ্ঠুর প্রচেষ্টা প্রায়শই প্রতি মিনিটে কমপক্ষে শত শত কী চেষ্টা করে। এমনকি যদি আপনার কাছে কোনও ক্রোন জব সেট রয়েছে যা আপনাকে বর্বর প্রচেষ্টার জন্য ইমেল করতে দেয় তবে আপনার সার্ভারে পৌঁছানোর কয়েক ঘন্টা আগে এটি হতে পারে।

আপনার যদি সর্বজনীন-মুখোমুখি এসএসএইচ সার্ভার থাকে, আপনার হ্যাক হওয়ার আগে আপনাকে এমন একটি সমাধানের দরকার যা খুব বেশি আগে কিক করে দেয়  ।

আমি দৃ strongly়ভাবে সুপারিশ করব fail2ban। তাদের উইকি বলে যা এটি আমার চেয়ে ভাল করে।

Fail2ban লগ ফাইলগুলি স্ক্যান করে (উদাহরণস্বরূপ /var/log/apache/error_log) এবং আইপিগুলিকে নিষিদ্ধ করে যা দূষিত চিহ্নগুলি দেখায় - অনেকগুলি পাসওয়ার্ড ব্যর্থতা, শোষণের সন্ধান ইত্যাদি General স্বেচ্ছাসেবী অন্যান্য ক্রিয়াকলাপ (যেমন ইমেল প্রেরণ, বা সিডি-রোম ট্রে বের করা) এছাড়াও কনফিগার করা যেতে পারে। বাক্সের বাইরে ফেইল 2 ব্যান বিভিন্ন পরিষেবার (অ্যাপাচি, কুরিয়ার, এসএস, ইত্যাদি) ফিল্টার নিয়ে আসে।

এর থেকে সুরক্ষা পাওয়া যতটা সহজ sudo apt-get install fail2ban।

ডিফল্টরূপে কারও কাছে তিনটি ব্যর্থ প্রচেষ্টা হওয়ার সাথে সাথে তাদের আইপি পাঁচ মিনিটের নিষেধাজ্ঞার সুযোগ পায়। এই ধরণের দেরি মূলত একটি এসএসএইচ জোর প্রচেষ্টা চালিয়ে যায় তবে আপনি যদি নিজের পাসওয়ার্ড ভুলে যান তবে আপনার দিনটি নষ্ট হচ্ছে না (তবে আপনি যেভাবেই কীগুলি ব্যবহার করা উচিত!)