Hoje verifiquei o auth.log do meu raspberry (endereço IP privado na minha rede doméstica atrás de um wrt54gl). Surpreendentemente, vi muitas linhas "Falha na senha para root de".
O IP SRC pode ser encontrado em listas de invasores de força bruta SSH.
Quando me conecto ao meu Raspberry pela Internet, geralmente estabeleço uma conexão ssh com o endereço IP público do meu roteador e me conecto ao endereço privado do Raspberry.
Então, como alguém pode se conectar diretamente a este dispositivo que possui apenas um endereço privado?
eth0 Link encap:Ethernet Hardware Adresse b8:27:eb:e5:7a:5b
inet Adresse:192.168.0.5 Bcast:192.168.0.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:2774178 errors:0 dropped:933 overruns:0 frame:0
TX packets:5544091 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:1000
RX bytes:457172801 (435.9 MiB) TX bytes:875979564 (835.3 MiB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX packets:2695 errors:0 dropped:0 overruns:0 frame:0
TX packets:2695 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:0
RX bytes:725188 (708.1 KiB) TX bytes:725188 (708.1 KiB)
Jun 15 13:42:12 rpi sshd[15608]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.31 user=root
Responder1
Da mesma forma que você faz, supondo que você use o encaminhamento de porta. Se você tentar fazer login no seu Raspberry remotamente, talvez até com uma senha falsa, deverá ver uma linha muito semelhante em auth.log.
Claro, você se conectará ao seu endereço IP público atribuído à interface externa do roteador. Presumo que você tenha estabelecido o encaminhamento de porta no roteador, para que qualquer conexão a uma porta específica em seu endereço IP público seja encaminhada para o framboesa. Neste caso específico, presumo que você encaminhou a porta 22 do roteador para ser encaminhada para a porta 22 do seu framboesa.
A maneira como o cara por trás do outro endereço IP foi é a mesma e provavelmente gosta
- verificando a Internet em busca de hosts que tenham portas abertas
- executando uma ferramenta que
- se conecta a esse host e porta
- tenta fazer login com listas de senhas
Ou talvez ele faça isso manualmente e acione seu cliente ssh, conecte-se ao seu endereço IP público, porta 22, que será encaminhado para o framboesa, e simplesmente tente combinações comuns de nome de usuário/senha (pi/raspberry, root/root, .. .).
Para evitar que você possa
- configure o sshd para usar autenticação de chave privada/pública, não autenticação de senha
- diga ao seu roteador para encaminhar uma porta diferente (por exemplo, 2222) para a porta 22 do framboesa. Certifique-se de ajustar seu cliente SSH (remoto) para que você ainda possa se conectar.
- instale
knockde abra a porta antes de usá-la - instalar
fail2banpara bloquear endereços IP não autorizados
(para uma visão geral um pouco mais detalhada dos métodos mencionados, consulte tambémaqui.)