ps, 무차별 SSH 해킹 시도에 의해 많은 sshd/root 프로세스가 나열됩니까?

이는 누군가가 SSH를 통해 이 시스템의 루트 비밀번호를 무차별 대입하려고 시도하고 있다는 의미입니까? 아니면 덜 사악한 것입니까?

SSH를 통한 무차별 대입 시도일 수도 있지만, 그것이 "사악한" 경우에도 나는 그것에 대해 잠을 잃지 않을 것입니다. 인터넷에서 공개적으로 액세스할 수 있는 대부분의 서버는 항상 공격자에 의해 조사됩니다. 누군가가 사실상 "관절을 감싸는" 것은 잠을 잃을 일이 아닙니다. 실제 시스템 침투는 다음과 같습니다.

도대체 auth.log제가 관리하고 있는 공용 서버에서 이 명령을 실행할 때 지난 24시간 동안 2000회 이상의 "인증 실패" 시도를 확인했습니다.

sudo grep "authentication failure;" /var/log/auth.log | wc -l

무섭게 들리지만 솔직히 누가 신경 쓰나요? auth.log위 명령을 약간 수정한 버전을 사용하여 로그 항목을 시각적으로 빠르게 확인합니다 .

sudo grep "authentication failure;" /var/log/auth.log

...다음과 같은 내용을 보여줍니다.

Mar 15 07:02:09 hostname sshd[2213]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root
Mar 15 07:02:19 hostname sshd[2236]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root
Mar 15 07:02:31 hostname sshd[2355]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root

시도된 모든 액세스 시도가 계정에 어떻게 기록되어 있는지 확인하세요 root. 내가 설정한 어떤 시스템에서든 root즉시 중성화 수술을 받으세요. 그래서 이러한 시도는 내 경우에는 성과가 없었습니다. 따라서 귀하를 확인 하고 계정을 통해 시스템에 로그인 auth.log하려는 수많은 시도가 있는 경우 시스템 계정이 완전히 비활성화되어 해당 문제가 목록에서 삭제되는지 확인하십시오.sshrootroot

계정 시도를 지나서 root임의의 사용자 이름이 시스템에 액세스하는 것을 본다면 이는 시스템을 해킹하려는 또 다른 시도입니다. 그리고 해당 사용자 이름이 시스템의 일부 사용자 이름과 동일하지 않은 경우에는 전혀 걱정하지 않습니다.

이제 일부 시스템 관리자는 이 문제에 대한 최선의 해결책은 SSH에서 비밀번호 인증을 완전히 비활성화하고 SSH 키 쌍만 사용하는 것이라고 말하지만 저는 그것이 과잉이라고 생각하는 경향이 있습니다. SSH 키 쌍이 약하다는 것은 아닙니다. 그렇지 않습니다. 그러나 시스템의 액세스 방법이 처음부터 올바르고 안전하게 설정되어 있고 암호가 쉽게 해킹당하지 않을 만큼 강력하다면 시스템은 상당히 안전합니다. 최신 웹 서버의 가장 큰 취약점은 SSH와 같은 것이 아니라 실제로 서버 자체에서 실행되는 전면 웹 애플리케이션이기 때문입니다.

결국 나는 이러한 종류의 무작위 "전쟁 전화 걸기" 시도에 대해 걱정하지 않고 오히려 서버 자체에서 root사용자 계정이 비활성화되었는지 확인하는 데 선제적으로 합리적입니다. 2015년에도 계정이 활성화된 상태로 공용 서버를 운영한다면 root기본적으로 장기적으로 골치 아픈 일을 요구하게 됩니다.