我想看看是否有人试图通过SSH暴力登录我的Ubuntu 12.04服务器。我如何查看是否正在进行此类活动?

#1 楼

所有登录尝试均记录到/var/log/auth.log

1。过滤暴力交互SSH登录信息

打开终端,然后输入以下内容;如果超过一页,您将可以上下滚动;输入q退出:

grep sshd.\*Failed /var/log/auth.log | less




这是我的一个VPS的真实示例:

Aug 18 11:00:57 izxvps sshd[5657]: Failed password for root from 95.58.255.62 port 38980 ssh2
Aug 18 23:08:26 izxvps sshd[5768]: Failed password for root from 91.205.189.15 port 38156 ssh2
Aug 18 23:08:30 izxvps sshd[5770]: Failed password for nobody from 91.205.189.15 port 38556 ssh2
Aug 18 23:08:34 izxvps sshd[5772]: Failed password for invalid user asterisk from 91.205.189.15 port 38864 ssh2
Aug 18 23:08:38 izxvps sshd[5774]: Failed password for invalid user sjobeck from 91.205.189.15 port 39157 ssh2
Aug 18 23:08:42 izxvps sshd[5776]: Failed password for root from 91.205.189.15 port 39467 ssh2



2。查找失败的连接(即未尝试登录,可能是端口扫描器等):

使用此命令:

grep sshd.*Did /var/log/auth.log | less




示例:

Aug  5 22:19:10 izxvps sshd[7748]: Did not receive identification string from 70.91.222.121
Aug 10 19:39:49 izxvps sshd[1919]: Did not receive identification string from 50.57.168.154
Aug 13 23:08:04 izxvps sshd[3562]: Did not receive identification string from 87.216.241.19
Aug 17 15:49:07 izxvps sshd[5350]: Did not receive identification string from 211.22.67.238
Aug 19 06:28:43 izxvps sshd[5838]: Did not receive identification string from 59.151.37.10



如何减少失败/暴力登录尝试


尝试将SSH从默认的22切换到非标准端口
,或安装自动禁止脚本,例如fail2ban 。


评论

您在切换SSH端口时获得了多少安全性(正如您提到的那样,它们不能只是对您进行扫描),对于合法用户来说,轻微的可用性损失值得吗?

–尼克T
13年8月2日,0:48
@NickT事实证明足以显着减少登录尝试。在一个星期/一天中,我会进行数千次尝试,到目前为止,上个月我都没有尝试过,只需切换端口即可。

– AntoineG
2014年10月10日14:30
我认为禁止使用密码登录也可能有所帮助。

–Luc M
2015年12月1日于20:16
我知道这是ubuntu,只想提及在centos等系统上,文件路径为/ var / log / secure

–lfender6445
16年1月12日在3:40


某些系统使用systemctl -eu sshd访问日志

–alecdwm
16年4月9日在14:14

#2 楼

我认为监视日志是一个较弱的解决方案,特别是如果您的帐户密码较弱。暴力破解通常每分钟尝试至少数百个密钥。即使您已设置Cron作业以通过电子邮件发送暴力尝试,也可能需要数小时才能到达您的服务器。可能会被黑客入侵。
我强烈建议您使用fail2ban。他们的Wiki指出了它比我能做的更好的事情。然后可以用来更新防火墙规则以在指定的时间内拒绝IP地址,尽管也可以配置任何其他任意操作(例如,发送电子邮件或弹出CD-ROM托盘)。 Fail2Ban带有开箱即用的过滤器,可用于各种服务(apache,curier,ssh等)。 3次尝试失败,其IP就会被禁止5分钟。这种延迟基本上可以阻止SSH暴力破解尝试,但是如果您忘记密码,也不会破坏您的一天(但是无论如何您都应该使用密钥!)

评论

为什么称其为禁令?

–起搏器
2015年4月22日,下午3:38
@Pacerier以此类推,登录失败会导致(2)禁止。

– Sebi
2015年5月9日13:06
哇哈哈哈,你把我的日子定在@Pacerier了,我从来没有把它看作是字面上的“禁止取缔”。

– adelriosantiago
16年7月18日在5:18
我认为应对此进行编辑,以便从第一句话中“特别是”删除。如果您的密码很弱,这只是一个问题。在任何情况下都不能强行使用强密码,阻止人们尝试的唯一原因是减少服务器负载。

–阿比·贝克特(Abhi Beckert)
17-2-14在1:44


完全同意。无论如何,可以防止服务器负载过大。我已经看到以毫秒为单位的尝试

–迭戈·安德烈斯·迪亚兹·埃斯皮诺萨(DiegoAndrésDíazEspinoza)
19年6月27日在16:16