GNU/Linux >> Linux の 問題 >  >> Linux

侵入の可能性があります! /var/log/secure — これはどういう意味ですか?

解決策 1:

残念ながら、これは現在非常に一般的な出来事です。これは、「一般的な」ユーザー名を使用してシステムに侵入しようとする SSH に対する自動攻撃です。このメッセージは、その内容を正確に意味しています。ハッキングされたという意味ではなく、誰かが試みたというだけです。

解決策 2:

具体的には、「POSSIBLE BREAK-IN ATTEMPT」の部分は、「逆マッピング チェック getaddrinfo に失敗しました」の部分に関連しています。これは、接続していた人が正引きおよび逆引き DNS を正しく構成していなかったことを意味します。これは非常に一般的で、特に ISP 接続の場合は、「攻撃」が発生した可能性があります。

"POSSIBLE BREAK-IN ATTEMPT" メッセージとは関係なく、その人物は実際に一般的なユーザー名とパスワードを使用して侵入しようとしています。 SSH には単純なパスワードを使用しないでください。実際、パスワードを完全に無効にして、SSH キーのみを使用するのが最善の方法です。

解決策 3:

<ブロック引用>

「「侵入の可能性」とは正確にはどういう意味ですか?」

これは、ネットブロックの所有者がその範囲内の静的 IP の PTR レコードを更新しておらず、PTR レコードが古くなっていることを意味します。または ISP は、動的 IP 顧客に対して適切な逆引きレコードをセットアップしません。これは、大規模な ISP でも非常に一般的です。

不適切な PTR レコードを持つ IP からの誰かが (上記の理由の 1 つにより)、一般的なユーザー名を使用してサーバーに SSH を試行しようとしているため (ブルートフォース攻撃、または正直なミスの可能性があります)、ログにメッセージが表示されます。 ).

これらのアラートを無効にするには、次の 2 つの選択肢があります:

1) 静的 IP をお持ちの場合 、逆マッピングを /etc/hosts ファイルに追加します (詳細はこちらをご覧ください):

10.10.10.10 server.remotehost.com

2) 動的 IP をお持ちの場合 本当にこれらのアラートを消したい場合は、/etc/ssh/sshd_config ファイルで "GSSAPIAuthentication yes" をコメントアウトしてください。

解決策 4:

sshd_config (UseDNS no) で逆引き参照をオフにすることで、ログを読みやすく、確認しやすくすることができます。これにより、sshd が「POSSIBLE BREAK-IN ATTEMPT」を含む「ノイズ」行をログに記録するのを防ぎ、「IPADDRESS からの無効なユーザー USER」を含む少し興味深い行に集中することができます。

解決策 5:

ログインに成功する必要はありませんが、「可能」と「試行」とは何ですか。

不良少年またはスクリプト キディが、偽の発信元 IP を使用して巧妙に細工されたトラフィックを送信しています。

SSH キーにオリジン IP 制限を追加して、fail2ban などを試すことができます。


Linux
  1. 「–」(二点鎖線)とはどういう意味ですか?

  2. / proc / loadavgの「CPUとIoの使用率」とはどういう意味ですか?

  3. Linux – / dev / urandomで「u」という文字は何を意味しますか?

  1. 「e:サブプロセス/ usr / bin / dpkgがエラーコード(1)を返しました」これはどういう意味ですか?

  2. /var/log/messages、/var/log/syslog、および/var/log/kern.logの違いは?

  3. CentOS / RHEL :logrotate を使用して /var/log/wtmp および /var/log/btmp ファイルをローテーションする方法

  1. この警告はどういう意味ですか?

  2. /etc/fstab の sw オプションはどういう意味ですか?

  3. /dev/urandom の文字「u」は何を意味しますか?