오늘 나는 내 라즈베리의 auth.log를 확인했습니다(wrt54gl 뒤의 홈 네트워크에 있는 개인 IP 주소). 놀랍게도 "실패한 루트 비밀번호" 줄을 많이 봤습니다.
SRC IP는 SSH 무차별 대입 공격자 목록에서 찾을 수 있습니다.
인터넷을 통해 라즈베리에 연결할 때 일반적으로 라우터 공용 IP 주소에 SSH 연결을 설정하고 라즈베리 개인 주소에 연결합니다.
그렇다면 개인 주소만 있는 이 장치에 누군가가 직접 연결할 수 있는 방법은 무엇일까요?
eth0 Link encap:Ethernet Hardware Adresse b8:27:eb:e5:7a:5b
inet Adresse:192.168.0.5 Bcast:192.168.0.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:2774178 errors:0 dropped:933 overruns:0 frame:0
TX packets:5544091 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:1000
RX bytes:457172801 (435.9 MiB) TX bytes:875979564 (835.3 MiB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX packets:2695 errors:0 dropped:0 overruns:0 frame:0
TX packets:2695 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:0
RX bytes:725188 (708.1 KiB) TX bytes:725188 (708.1 KiB)
Jun 15 13:42:12 rpi sshd[15608]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.31 user=root
답변1
포트 포워딩을 사용한다고 가정하면 동일한 방식으로 수행됩니다. 원격에서 라즈베리에 로그인을 시도하면(아마도 잘못된 비밀번호를 사용하여) auth.log에 매우 유사한 줄이 표시되어야 합니다.
물론, 라우터의 외부 인터페이스에 할당된 공용 IP 주소에 연결하게 됩니다. 라우터에서 포트 전달을 설정하여 공용 IP 주소의 특정 포트에 대한 모든 연결이 라즈베리로 전달된다고 가정합니다. 이 특정한 경우에는 라우터의 포트 22를 라즈베리의 포트 22로 전달했다고 가정합니다.
다른 IP 주소 뒤의 사람이 간 방식은 동일하며 아마도 다음과 같을 것입니다.
- 포트가 열려 있는 호스트를 인터넷에서 검색
- 도구를 실행하는 중
- 해당 호스트와 포트에 연결
- 비밀번호 목록으로 로그인을 시도합니다
아니면 수동으로 SSH 클라이언트를 실행하고 라즈베리로 전달될 공용 IP 주소인 포트 22에 연결하고 단순히 일반적인 사용자 이름/비밀번호 조합(pi/raspberry, 루트/루트, .. .).
그것을 피하기 위해 당신은 할 수 있습니다
- 비밀번호 인증이 아닌 개인/공개 키 인증을 사용하도록 sshd를 구성하십시오.
- 라우터에 다른 포트(예: 2222)를 라즈베리의 포트 22로 전달하도록 지시합니다. 계속 연결할 수 있도록 (원격) SSH 클라이언트를 조정하십시오.
knockd사용하기 전에 포트를 설치 하고 두드려서 열어보세요.fail2ban승인되지 않은 IP 주소를 차단하기 위해 설치
(언급된 방법에 대한 좀 더 자세한 개요는 다음을 참조하세요.여기.)