ハッキングされているように見えるログエントリがいくつかあります。
タイプ1
Dec 26 03:09:01 ... CRON[9271]: pam_unix(cron:session): session closed for user root
Dec 26 03:17:01 ... CRON[9308]: pam_unix(cron:session): session opened for user root by (uid=0)
タイプ2
Dec 26 03:27:11 ... sshd[9364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.217.235.5 user=root
Dec 26 03:27:12 ... sshd[9364]: Failed password for root from 60.217.235.5 port 47933 ssh2
これはどういう意味ですか?通常5つの単位で使用されます。私はそれを可能にしましたufw limit ssh。だから私はUFWがそれを踏んでいると思います。ところで、2種類、1つの認証失敗、1つのセッションが終了した理由を知りたいです。
denyhostsSSHポートを使用して変更し、rootログインを無効にしてそれに応答する必要があると思いますか?また何ができますか?前回拒否ホストを使用したときに私もブロックされました。また、UFW再試行時間を増やすことはできますか?たとえば、1時間後にログインを許可しますか?ログイン試行を3回に減らすことができますか?
答え1
すでに述べたように、最初のタイプはSSHに関連するものからは出ませんが、有害ではありませんが、一般的なcronデーモンのアクティビティログです。 2番目はハッカーのログイン試行であり、それに従う必要があります。denyhosts役に立つかもしれませんが、rootログインの可能性を無効にすることも非常に良い考えです。とは別に denyhosts、いいえ変える! )
答え2
からのお知らせクローナ正常な活動を記録します。これは、ルートによって実行されるスケジュールされたジョブです(毎時間または毎日)。
SSHからのメッセージは、誰かがrootとしてログインしようとしていることを示します。一部のボットはランダムなアドレスを試み、脆弱なパスワードでログインを試みるか、セキュリティホールを利用しようとします。ほとんどの人はこれらの試みを無視することができ、簡単な衛生を観察するだけです。
/etc/sshd_config設定(/etc/ssh/sshd_configディストリビューションに応じて、または同様の場所)を使用してパスワード認証を完全に無効にするか、PasswordAuthentication Noシステムのすべてのユーザーが強力なパスワード(辞書の単語や単純なパスワードのバリエーションではない)を持っていることを確認してください。- SSHサーバーが最新であることを確認してください(既知のセキュリティ脆弱性はありません)。
これらの試みが帯域幅、CPU、またはログスペースの大部分を占める場合は、より制限的なアクションを実装できますが、SSHを制限するといつかブロックされる可能性があることに注意してください。ポートを変更すると、ほとんどのボットがあなたを見ることができなくなりますが(これは最も簡単なターゲットではありません)、次の場合、一部のファイアウォールを介してログインできないことがあります(本当にポートを変更したいがそうでない場合)。 HTTPSサーバーを実行している場合、ほとんどのファイアウォールはHTTPSを許可してSSHと区別できないため、443は問題ありません。 Denyhostは試行回数を減らします。ポートノック別の方法がありますが、それほど有用ではありません。厳格なファイアウォールで保護されていない自分が制御するコンピュータでのみログインでき、利点もやや少ないです。
答え3
「ポートノッキング」というメソッドを使用できます。
Googleの「iptablesポートノック」。
外部の世界では、SSHサーバーが実行されていないようです。