Forum Debian Users Gang

Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.

I skonfiguruj firewala by odrzucał błędne próby połączenia różnych botów.

Blackhole napisał(-a):

Hej!
W pliku /var/log/auth.log zauważyłem takie wpisy:

Jan 29 04:19:19 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:22 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:24 doscniewoli sshd[11733]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:47 doscniewoli sshd[11736]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:50 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:52 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:54 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:55 doscniewoli sshd[11736]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:55 doscniewoli sshd[11736]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11744]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session closed for user root
Jan 29 04:20:02 doscniewoli CRON[11744]: pam_unix(cron:session): session closed for user smmsp
Jan 29 04:20:15 doscniewoli sshd[11776]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:18 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:19 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:22 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
...
Feb  2 17:27:21 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:24 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:27 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
...

Od 29 stycznia do dziś jest takich wpisów już ponad 30 tyś:

Kod:

$ cat /var/log/auth.log | grep -i "failed password for root" | wc -l
30120

Wygląda, jakby ktoś chciał mi zrobił włam na VPS.
Jak mogę zablokować możliwość logowania z powyższych adresów IP?

Hmm:

iptables -N SSH
iptables -A INPUT -p tcp -m tcp -m multiport --dports 11523,21843  -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-sadd$
iptables -A SSH  -m hashlimit --hashlimit-upto 5/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name ssh -j ACCEPT
### iptables -A SSH -j LOG --log-prefix "SSH - zablokowany"
iptables -A SSH -j RETURN

Zrób sobie SSH na jakichś dziwacznych portach, podobnie jak powyżej.
Zrób też logowanie po kluczach SSH, a hasła wyłącz całkowicie.

Najpierw wygeneruj skopiuj i sprawdź, czy dzialłają klucze, a potem:
przyłączanie zrobisz: tak,, w konfigu /etc/ssh/sshd_config ustawiasz:

PubkeyAuthentication yes
PasswordAuthentication no

N wszelki wypadek, jakbyś miał majstrować w konfigu sshd, zainstaluj sobie i wystaw na drugim porcie Dropbeara.

Dropbeara odpalisz takim poleceniem:

dropbear -F -R -E -s -a -p *:{PORT}

Do majstrowania w konfigu sshd radziłbym  się przez Dropbeara zalogować, żeby sobie błędem w konfigu nie uceglić VPSa.

Ja  w ogóle na zdalnych serwerach zawsze trzymam dwa rożne demony sshd na rożnych portach.

Pozdro

Ostatnio edytowany przez Jacekalex (2018-02-03 20:35:06)

morfik napisał(-a):

yossarian napisał(-a):

Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.

E tam, ja u siebie miałem logowanie do konta root cały czas, z tym, że via klucze SSH.

Miałem na myśli logowanie na konto roota poprzez hasło. Jeśli dobrze pamiętam to standardowo jest to i tak wyłączone w Debianie.

Blackhole napisał(-a):

Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).

Logowanie na konto zwykłego użytkownika (zamiast roota) nie ma nic wspólnego z kluczami SSH.
Po drugie, JuiceSSH obsługuje klucze. Kiedyś używałem na tablecie — służył jako awaryjny lub podręczny dostęp do serwera.

Wygląda ciekawie.

Może zaniecham tego haniebnego czynu ;)