root@host [/var/log]# tail -f secure
Jan 3 20:16:10 host sshd[22670]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root
Jan 3 20:16:12 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan 3 20:16:15 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan 3 20:16:18 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan 3 20:16:18 host sshd[22684]: Disconnecting: Too many authentication failures for root
Jan 3 20:16:18 host sshd[22670]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root
Jan 3 20:16:26 host sshd[23127]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root
Jan 3 20:16:28 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan 3 20:16:29 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan 3 20:16:30 host sshd[23154]: Connection closed by 61.142.131.120
61.142.131.120は私のIPではありません。だからその人が誰なのか分からない。そしてrootとしてログインできません。幸い、一度ログインに成功しました。 passwdを介してパスワードを変更した後でも、まだwhmまたはrootにログインできなくなりました。
ログインを試みなくても、セキュリティパスワードの失敗に関する報告は引き続き表示されます。
結局、すべてが正常に戻ったが、ログは奇妙だった。
Jan 3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 3 20:21:55 host sshd[1252]: Accepted password for root from 139.193.157.62 port 29144 ssh2
Jan 3 20:21:55 host sshd[1252]: pam_unix(sshd:session): session opened for user root by (uid=0)
getaddrinfoが機能しないということはどういう意味ですか?
答え1
getaddrinfo
小切手に言及する可能性が高いですsshd
。ssh
システムにアクセスしようとすると、IPアドレスに対してリバースDNSルックアップを実行して、発信者と一致することを確認します。本質的に、これはトリックを防ぐ試みです。
このログは一種の攻撃のように見えます。必ずしも標的となるわけではありません。人々は自動化されたツールを使用してシステムにランダムに侵入しようとします。したがって、パスワードroot
ログインを絶対に許可しないでください。ssh
実際にPermitRootLogin
insshd_config
をに設定する必要がありますno
。ログインする必要がある場合root
(ssh
ほとんど発生しません。時にはコンピュータをリモートで制御するためのプログラムが必要ですが、通常はそうではありません)、パーソナルコンピュータのSSHキーに設定して次のように入力します。/root/.ssh/authorized_keys
リモートコンピュータの公開鍵。パスワードをrootログインPermitRootLogin
に変更してパスワードをオフにします。しかし、おそらくリセットする必要があります。without-password
sshd_config
no
この種の攻撃に関する追加情報: /var/log/secureに「侵入を試みる可能性があります!」 - これはどういう意味ですか?
答え2
これ...
Jan 3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT!
...次を指しているようですこれ
ただし、ルートログインを無効にする必要があります。コンピュータへのrootアクセス権がない場合は、すべてのファイルをUSBまたは他のデバイスに保存し、選択したディストリビューションを再インストールすることは危険を避けるよりも優れています。