При выполнении ps -efHя вижу много следующего, где 14:24 — это в основном текущее системное время. Эти процессы продолжают появляться каждую минуту.
root 6851 1 0 14:24 ? 00:00:00 sshd: root [priv]
sshd 6852 6851 0 14:24 ? 00:00:00 sshd: root [net]
root 6869 6851 1 14:24 ? 00:00:00 sshd: root [pam]
root 6861 1 0 14:24 ? 00:00:00 sshd: root [priv]
sshd 6863 6861 0 14:24 ? 00:00:00 sshd: root [net]
root 6874 6861 0 14:24 ? 00:00:00 sshd: root [pam]
root 6865 1 0 14:24 ? 00:00:00 sshd: root [priv]
sshd 6866 6865 0 14:24 ? 00:00:00 sshd: root [net]
root 6875 6865 0 14:24 ? 00:00:00 sshd: root [pam]
root 6872 1 1 14:24 ? 00:00:00 sshd: root [priv]
sshd 6873 6872 0 14:24 ? 00:00:00 sshd: root [net]
root 6876 6872 0 14:24 ? 00:00:00 sshd: root [pam]
Означает ли это, что кто-то пытается взломать пароль root на этой машине через SSH? Или это что-то менее гнусное?
решение1
Означает ли это, что кто-то пытается взломать пароль root на этой машине через SSH? Или это что-то менее гнусное?
Это могут быть попытки взлома методом подбора через SSH, но даже если это было бы «гнусно», я бы не стал терять из-за этого сон. Почти любой сервер, который находится в открытом доступе в Интернете, постоянно подвергается зондированию со стороны злоумышленников. Не стоит терять сон из-за того, что кто-то фактически «занимается стыком»; реальное проникновение в систему — да.
Черт, я только что проверил auth.logна публичном сервере, которым я управляю, и насчитал более 2000 попыток «сбоев аутентификации» за последние 24 часа, когда я выполнил эту команду:
sudo grep "authentication failure;" /var/log/auth.log | wc -l
Звучит пугающе, но, честно говоря, кого это волнует? Быстрая визуальная проверка записей журнала с auth.logиспользованием слегка измененной версии приведенной выше команды:
sudo grep "authentication failure;" /var/log/auth.log
…показывает мне что-то вроде этого:
Mar 15 07:02:09 hostname sshd[2213]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35 user=root
Mar 15 07:02:19 hostname sshd[2236]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35 user=root
Mar 15 07:02:31 hostname sshd[2355]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35 user=root
Обратите внимание, что все попытки доступа относятся к rootучетной записи? На любой системе, которую я настраиваю, rootget сразу же нейтрализуется. Так что эти попытки в моем случае бесплодны. Так что если вы проверите свою auth.logи увидите тонны попыток войти sshв систему через rootучетную запись, убедитесь, что rootучетная запись вашей системы полностью отключена, чтобы вычеркнуть эту проблему из списка.
Помимо rootпопыток входа в учетную запись, если вы видите доступы к вашей системе, казалось бы, случайных имен пользователей, это тоже еще одна попытка взлома системы. И если только эти имена пользователей не совпадают с каким-то именем пользователя в вашей системе, я бы вообще не беспокоился о них.
Сейчас некоторые системные администраторы сказали бы, что лучшим решением этой проблемы будет просто отключить аутентификацию по паролю полностью из SSH и использовать только пары ключей SSH, но я склонен думать, что это излишество. Я не говорю, что пары ключей SSH слабы — это не так — но если методы доступа системы настроены разумно и безопасно с первого дня, а пароли достаточно надежны, чтобы их было нелегко взломать, то система вполне безопасна. Это потому, что самая большая уязвимость современных веб-серверов — это фронтальное веб-приложение, фактически работающее на самом сервере, а не такие вещи, как SSH.
В конце концов, я бы не беспокоился о подобных случайных попытках «боевого набора», а был бы более рационален и заранее убедился, что на самом сервере отключена учетная rootзапись пользователя. Если вы все еще используете публичный сервер в 2015 году с rootвключенной учетной записью, вы, по сути, напрашиваетесь на головную боль в долгосрочной перспективе.