解決策 1:
残念ながら、これは現在非常に一般的な出来事です。これは、「一般的な」ユーザー名を使用してシステムに侵入しようとする SSH に対する自動攻撃です。このメッセージは、その内容を正確に意味しています。ハッキングされたという意味ではなく、誰かが試みたというだけです。
解決策 2:
具体的には、「POSSIBLE BREAK-IN ATTEMPT」の部分は、「逆マッピング チェック getaddrinfo に失敗しました」の部分に関連しています。これは、接続していた人が正引きおよび逆引き DNS を正しく構成していなかったことを意味します。これは非常に一般的で、特に ISP 接続の場合は、「攻撃」が発生した可能性があります。
"POSSIBLE BREAK-IN ATTEMPT" メッセージとは関係なく、その人物は実際に一般的なユーザー名とパスワードを使用して侵入しようとしています。 SSH には単純なパスワードを使用しないでください。実際、パスワードを完全に無効にして、SSH キーのみを使用するのが最善の方法です。
解決策 3:
<ブロック引用>「「侵入の可能性」とは正確にはどういう意味ですか?」
これは、ネットブロックの所有者がその範囲内の静的 IP の PTR レコードを更新しておらず、PTR レコードが古くなっていることを意味します。または ISP は、動的 IP 顧客に対して適切な逆引きレコードをセットアップしません。これは、大規模な ISP でも非常に一般的です。
不適切な PTR レコードを持つ IP からの誰かが (上記の理由の 1 つにより)、一般的なユーザー名を使用してサーバーに SSH を試行しようとしているため (ブルートフォース攻撃、または正直なミスの可能性があります)、ログにメッセージが表示されます。 ).
これらのアラートを無効にするには、次の 2 つの選択肢があります:
1) 静的 IP をお持ちの場合 、逆マッピングを /etc/hosts ファイルに追加します (詳細はこちらをご覧ください):
10.10.10.10 server.remotehost.com
2) 動的 IP をお持ちの場合 本当にこれらのアラートを消したい場合は、/etc/ssh/sshd_config ファイルで "GSSAPIAuthentication yes" をコメントアウトしてください。
解決策 4:
sshd_config (UseDNS no) で逆引き参照をオフにすることで、ログを読みやすく、確認しやすくすることができます。これにより、sshd が「POSSIBLE BREAK-IN ATTEMPT」を含む「ノイズ」行をログに記録するのを防ぎ、「IPADDRESS からの無効なユーザー USER」を含む少し興味深い行に集中することができます。
解決策 5:
ログインに成功する必要はありませんが、「可能」と「試行」とは何ですか。
不良少年またはスクリプト キディが、偽の発信元 IP を使用して巧妙に細工されたトラフィックを送信しています。
SSH キーにオリジン IP 制限を追加して、fail2ban などを試すことができます。