好消息是我需要SSH授权密钥。据我所知,我认为没有任何成功的突破。我仍然非常担心在/ var / log / secure中看到的内容:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
究竟是什么,“可能的闯入尝试”是什么意思?那成功了吗?还是它不喜欢请求来自的IP?
#1 楼
不幸的是,这在现在非常普遍。这是对SSH的自动攻击,它使用“通用”用户名尝试侵入您的系统。该消息的含义与所讲的完全相同,并不意味着您已经被黑客入侵,只是有人尝试过。#2 楼
“可能的闯入尝试”部分特别与“反向映射检查getaddrinfo失败”部分有关。这意味着连接的人没有正确配置正向和反向DNS。这是很常见的,尤其是对于ISP连接,这可能是“攻击”的来源。与“可能的闯入尝试”消息无关,此人实际上是在试图闯入使用常见的用户名和密码。请勿对SSH使用简单密码;实际上,最好是完全禁用密码并仅使用SSH密钥。
评论
如果它是通过ISP的(有效)连接生成的,则可以将条目添加到/ etc / hosts文件中,以消除此反向映射错误。显然,只有在知道错误是良性的并且想要清除日志的情况下,才执行此操作。
– artfulrobot
2012年8月10日在9:22
#3 楼
““可能的闯入尝试”到底是什么意思?”
这意味着netblock所有者未更新其范围内的静态IP的PTR记录,并且说PTR记录已经过时,或者ISP没有为其动态IP客户设置正确的反向记录。即使对于大型ISP来说,这也是很常见的。
您最终会在日志中收到味精,因为某人来自IP地址不正确的PTR记录(由于上述原因之一)正试图使用尝试通过SSH进入服务器的常见用户名(可能是蛮力攻击,或者可能是诚实的错误)。
要禁用这些警报,您有两种选择:
1)如果具有静态IP,请将反向映射添加到/ etc / hosts文件中(在此处查看更多信息):
10.10.10.10 server.remotehost.com
2)如果您具有动态IP要使这些警报消失,请在/ etc / ssh / sshd_config文件中注释掉“ GSSAPIAuthentication yes”。
评论
在我的情况下,评论GSSAPIAuthentication没有帮助(
– SET
2014年1月3日,0:57
UseDNS no可能是摆脱它的更好的设置(以及服务器出现DNS问题时的缓慢登录...)
– Gert van den Berg
18年11月16日在7:39
#4 楼
通过关闭sshd_config中的反向查询(UseDNS no),可以使日志更易于阅读和检查。这将防止sshd记录包含“可能的闯入尝试”的“噪声”行,而使您将注意力集中在包含“来自IPADDRESS的无效用户USER”的稍微有趣的行上。评论
在连接到公共Internet的服务器上禁用sshd反向查询的不利之处是什么?启用此选项是否有任何好处?
–艾迪
2013年11月6日15:48
@Eddie我认为sshd执行的DNS查找没有任何有用的用途。禁用DNS查找有两个很好的理由。如果查询超时,DNS查询会减慢登录速度。并且日志中的“可能的侵入尝试”消息具有误导性。该消息的真正含义是客户端配置了错误的DNS。
–卡巴斯德
2015年7月1日在10:12
我不同意@OlafM-“ UseDNS no”告诉sshd不执行反向映射检查,因此它将不会在系统日志中添加任何包含“可能的闯入尝试”的行。副作用是,与未正确配置反向DNS相比,它还可能加速来自主机的连接尝试。
– TimTim
17年5月4日,12:55
是的,@ OlafM我大约在4-5年前在Linux上做过。它大大缩短了我的日志,并停止了logcheck,让我无用的电子邮件报告困扰着我。
– TimTim
17年5月26日在8:07
UseDNS的主要用途是(不好的主意).rhosts和.shosts身份验证(基于主机的身份验证)。 (还有SSHD config和authorized_keys中的“从匹配”选项)(有一个单独的设置HostbasedUsesNameFromPacketOnly,但对于基于主机的身份验证也需要切换反向查找,这比使用基于主机的身份验证更糟糕。)
– Gert van den Berg
18年11月16日在7:44
#5 楼
成功登录并不一定要成功,但是它说的是“可能的”和“尝试的”。一些坏男孩或脚本小子正在向您发送带有错误来源IP的精心设计的流量。
您可以将原始IP限制添加到SSH密钥,然后尝试使用fail2ban之类的方法。
评论
谢谢。我已将iptables设置为仅允许来自选定来源的ssh连接。我也已经安装并运行了fail2ban。
– Mike B
2011年4月17日在18:31
评论
谢谢莱恩。那让我感觉好些。我真的很高兴我需要ssh的授权密钥。 =)
– Mike B
2011年4月17日在18:31
“反向映射检查getaddrinfo”是关于源IP /主机名的更多信息。相同的流量尝试使用错误的用户名,但是错误的用户名不会生成“可能的侵入尝试”消息。
– Poisonbit
2011-4-17 18:34
@MikeyB:您可能希望查看将fail2ban添加到您的系统。可以将其配置为自动阻止这些攻击者的IP地址。
–user9517
2011年4月17日在18:35
请注意,“反向映射失败”可能仅表示用户的ISP未正确配置反向DNS,这很常见。参见@Gaia的答案。
–威尔士·休斯
2013年10月9日13:52
这是不准确的,仅表示反向DNS与客户端发送以标识自己的主机名不匹配。它可能已被标记,因为对于使用.rhosts或.shosts身份验证的人来说,这可能是尝试的中断(我从未见过使用过)。进行扫描,但这不是此消息的含义(尽管任何连接都可以触发它)(对于扫描,失败的身份验证/未知用户消息更适合查找)
– Gert van den Berg
18年11月16日在7:38