今天我檢查了我的樹莓派的auth.log(我的家庭網路中wrt54gl後面的私有IP位址)。令人驚訝的是,我看到了很多「root 密碼失敗」的行。
SRC IP 可以在 SSH 暴力攻擊者清單中找到。
當我透過網路連接到我的樹莓派時,我通常會建立一個到我的路由器公共IP位址的ssh連接,並連接到樹莓派的私人位址。
那麼,如何才能直接連接到這個只有私有位址的裝置呢?
eth0 Link encap:Ethernet Hardware Adresse b8:27:eb:e5:7a:5b
inet Adresse:192.168.0.5 Bcast:192.168.0.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:2774178 errors:0 dropped:933 overruns:0 frame:0
TX packets:5544091 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:1000
RX bytes:457172801 (435.9 MiB) TX bytes:875979564 (835.3 MiB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX packets:2695 errors:0 dropped:0 overruns:0 frame:0
TX packets:2695 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:0
RX bytes:725188 (708.1 KiB) TX bytes:725188 (708.1 KiB)
Jun 15 13:42:12 rpi sshd[15608]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.31 user=root
答案1
假設您使用連接埠轉發,則採用相同的方法。如果您嘗試從遠端登入樹莓派,即使使用錯誤密碼,您也應該在 auth.log 中看到非常相似的行。
當然,您將連接到指派給路由器外部介面的公共IP位址。我假設您在路由器中建立了連接埠轉發,以便任何到您的公用 IP 位址上的特定連接埠的連接都會被轉發到樹莓派。在這種特定情況下,我假設您將路由器中的連接埠 22 轉送到樹莓派的連接埠 22。
另一個 IP 位址背後的人的方式是相同的,可能就像
- 掃描網際網路上開啟連接埠的主機
- 運行一個工具
- 連接到該主機和連接埠
- 嘗試使用密碼清單登入
或者他可能手動執行此操作並啟動ssh 用戶端,連接到您的公共IP 位址、連接埠22,該位址將轉發到樹莓派,然後簡單地嘗試常見的使用者名稱/密碼組合(pi/raspberry、root /root、.. .)。
為了避免這種情況,你可以
- 配置 sshd 使用私鑰/公鑰身份驗證,而不是密碼驗證
- 告訴你的路由器將不同的連接埠(例如2222)轉送到樹莓派的連接埠22。請務必調整您的(遠端)ssh 用戶端,以便您仍可連線。
knockd在使用之前安裝並打開端口- 安裝
fail2ban以封鎖未經授權的 IP 位址
(有關上述方法的更詳細概述,另請參閱這裡.)