所以這台電腦可以透過連接埠 22(從任何地方)存取。
由於指示登入嘗試失敗的訊息(如root、cgi、bash、生產等用戶名)已經充斥在/var/log/auth.log 中,因此我已停用來自外部IP 的密碼身份驗證(僅使用公鑰身份驗證)。
這是有效的,當嘗試從外部 IP(沒有密鑰) ssh 進入該機器時,我什至沒有收到用戶名提示:
權限被拒絕(公鑰)。
那麼所有這些假用戶名是如何最終出現在 auth.log 中的呢?
1 Aug 4 17:02:48 host sshd[17190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217.116.204.99 user=root 2 Aug 4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): getting password (0x00000388) 3 Aug 4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): pam_get_item returned a password 4 Aug 4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error:PAM_USER_UNKNOWN (10),NTSTATUS:NT_STATUS_NO_SUCH_USER,錯誤混亂 4 年齡是:沒有這樣的使用者5 Aug
4 17:02:50 主機 sshd[17190]:來自 217.116.204.root96. 404.
: 50 主機 sshd[17190]:收到與 217.116.204.99 的斷線:11:再見 [preauth]
...
513322 4 月7 日19:45:40 主機sshd[15986]:input_userauth_request:無效的使用者_regi [preauth]
...
答案1
雖然您不輸入用戶名,但如果您從linux/osx/bsd 工作站連接,則用戶名是隱式的(預設為您登入時使用的用戶名),如果您有Windows 並使用putty,請嘗試連接而不設定自動登入使用者名,並提供金鑰,它會要求輸入使用者名稱來嘗試匹配該對。
密鑰僅替換密碼,每個密鑰都與一個用戶(以及用戶名)相關聯,這就是為什麼您會authorized_keys在~/.ssh/.
您可能會看到攻擊者正在做類似的事情ssh bash@<your.server.ip>。伺服器看到用戶名,但由於它們沒有提供密鑰,因此被拒絕存取。