almalinux를 사용하여 새로운 VPS를 설정합니다.
다음 설정으로 방화벽을 설정했습니다.
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client http https
ports: 80/tcp 443/tcp 7822/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
연결하려는 포트가 닫혀 있는데 왜 /var/log/secure에 로그인 시도가 계속 실패합니까?
Apr 15 14:11:57 server sshd[46737]: Failed password for root from 148.113.133.177 port 43582 ssh2
Apr 15 14:11:57 server sshd[46737]: Received disconnect from 148.113.133.177 port 43582:11: Bye Bye [preauth]
Apr 15 14:12:15 server sshd[46743]: Invalid user chenyoumin from 27.254.149.199 port 60384
Apr 15 14:12:15 server sshd[46743]: pam_unix(sshd:auth): check pass; user unknown
Apr 15 14:12:15 server sshd[46743]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=27.254.149.199
임의의 포트를 사용하여 서버에 SSH로 연결하려고 하면 다음과 같습니다.
ssh -p 50645 [email protected]
그것은 다음을 반환합니다 :
ssh: connect to host server.com port 50645: No route to host
그리고 /var/log/secure에는 아무것도 기록되지 않습니다.
업데이트
방화벽을 비활성화하고 nftables를 활성화했습니다. 다음 규칙 세트를 로드했습니다.
table inet firewall {
chain inbound_ipv4 {
}
chain inbound_ipv6 {
icmpv6 type { nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept
}
chain inbound {
type filter hook input priority filter; policy drop;
ct state vmap { invalid : drop, established : accept, related : accept }
iifname "lo" accept
meta protocol vmap { ip : jump inbound_ipv4, ip6 : jump inbound_ipv6 }
tcp dport { 80, 443, 7822 } accept
}
chain forward {
type filter hook forward priority filter; policy drop;
}
}
table inet f2b-table {
set addr-set-sshd {
type ipv4_addr
elements = { 45.89.110.110 }
}
chain f2b-chain {
type filter hook input priority filter - 1; policy accept;
meta l4proto { tcp } ip saddr @addr-set-sshd reject
}
}
이제 이것은 잘 작동하는 것 같습니다. 7822 이외의 포트로 ssh를 시도하면 중단되고 로그에 항목이 없습니다.
하지만 로그에는 여전히 봇의 무차별 대입 시도가 표시됩니다. 그들은 어떻게 이런 일을 하고 있고, 어떻게 멈추나요? 규칙이 적용되기 전에 어떻게든 이러한 연결을 열어두었나요? VPS를 다시 시작하지 않고 어떻게 이러한 연결을 끊을 수 있습니까?
Apr 16 14:30:39 server sshd[61577]: pam_unix(sshd:auth): check pass; user unknown
Apr 16 14:30:39 server sshd[61577]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.39.133.250
Apr 16 14:30:41 server sshd[61577]: Failed password for invalid user user from 103.39.133.250 port 48096 ssh2
Apr 16 14:30:46 server sshd[61580]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.156.239.10 user=root
Apr 16 14:30:49 server sshd[61580]: Failed password for root from 43.156.239.10 port 40702 ssh2
Apr 16 14:30:58 server sshd[61583]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=165.22.96.129 user=root
Apr 16 14:31:00 server sshd[61583]: Failed password for root from 165.22.96.129 port 49100 ssh2
Apr 16 14:31:14 server sshd[61586]: Invalid user user from 43.156.82.82 port 36394
Apr 16 14:31:14 server sshd[61586]: pam_unix(sshd:auth): check pass; user unknown
Apr 16 14:31:14 server sshd[61586]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.156.82.82
Apr 16 14:31:16 server sshd[61586]: Failed password for invalid user user from 43.156.82.82 port 36394 ssh2
Apr 16 14:31:18 server sshd[61589]: Invalid user ubuntu from 213.190.4.134 port 36238
Apr 16 14:31:18 server sshd[61589]: pam_unix(sshd:auth): check pass; user unknown
Apr 16 14:31:18 server sshd[61589]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.190.4.134
Apr 16 14:31:20 server sshd[61589]: Failed password for invalid user ubuntu from 213.190.4.134 port 36238 ssh2
답변1
iptables-save 출력에 적용된 방화벽 정책이 표시되지 않습니다.
INPUT 변경사항에는 기본 정책인 승인이 있습니다. 그리고 그것은 f2b-SSH 체인으로만 점프합니다. f2b-SSH 체인은 fail2ban에 의해 관리되고 많은 소스 호스트를 금지합니다(sshd 서버를 공격하는 것으로 의심됩니다).
해당 주소가 Fail2ban에 의해 금지되지 않은 경우 최종적으로 승인되며 로그에 메시지가 표시되는 이유입니다.
방화벽을 시작하셨나요? 제대로 시작됐나요?
그런데, 어느 AlmaLinux인가요? 8은 여전히 iptables에 있고, 9는 nftables AFAIR에 있습니다. AlmaLinux 9인 경우 nft list ruleset출력을 제공하십시오.