Hoy revisé el auth.log de mi Raspberry (dirección IP privada en mi red doméstica detrás de un wrt54gl). Sorprendentemente, vi muchas líneas de "Contraseña fallida para root desde".
La IP de SRC se puede encontrar en listas de atacantes de fuerza bruta SSH.
Cuando me conecto a mi Raspberry a través de Internet, generalmente establezco una conexión ssh con la dirección IP pública de mi enrutador y me conecto a la dirección privada de Raspberry.
Entonces, ¿cómo puede alguien conectarse directamente a este dispositivo que sólo tiene una dirección privada?
eth0 Link encap:Ethernet Hardware Adresse b8:27:eb:e5:7a:5b
inet Adresse:192.168.0.5 Bcast:192.168.0.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:2774178 errors:0 dropped:933 overruns:0 frame:0
TX packets:5544091 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:1000
RX bytes:457172801 (435.9 MiB) TX bytes:875979564 (835.3 MiB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX packets:2695 errors:0 dropped:0 overruns:0 frame:0
TX packets:2695 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:0
RX bytes:725188 (708.1 KiB) TX bytes:725188 (708.1 KiB)
Jun 15 13:42:12 rpi sshd[15608]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.31 user=root
Respuesta1
De la misma manera que lo haces, asumiendo que usas el reenvío de puertos. Si intenta iniciar sesión en su Raspberry desde un control remoto, tal vez incluso con una contraseña falsa, debería ver una línea muy similar en auth.log.
Por supuesto, se conectará a su dirección IP pública que está asignada a la interfaz externa del enrutador. Supongo que estableció el reenvío de puertos en el enrutador, de modo que cualquier conexión a un puerto específico en su dirección IP pública se reenviará a la frambuesa. En este caso específico, asumo que reenvió el puerto 22 en el enrutador para que se reenvíe al puerto 22 de su Raspberry.
La forma en que fue el tipo detrás de la otra dirección IP es la misma y probablemente le guste
- escanear Internet en busca de hosts que tengan puertos abiertos
- ejecutando una herramienta que
- se conecta a ese host y puerto
- intenta iniciar sesión con listas de contraseñas
O tal vez lo hace manualmente y activa su cliente ssh, se conecta a su dirección IP pública, puerto 22, que será reenviado a la frambuesa, y simplemente prueba combinaciones comunes de nombre de usuario/contraseña (pi/raspberry, root/root,... .).
Para evitar eso puedes
- configurar sshd para usar autenticación de clave pública/privada, no autenticación de contraseña
- dígale a su enrutador que reenvíe un puerto diferente (por ejemplo, 2222) al puerto 22 de la frambuesa. Asegúrese de ajustar su cliente ssh (remoto) para que aún pueda conectarse.
- Instale
knockdy abra el puerto antes de querer usarlo. - instalar
fail2banpara bloquear direcciones IP no autorizadas
(para obtener una descripción general un poco más detallada de los métodos mencionados, consulte tambiénaquí.)