GNU/Linux >> Belajar Linux >  >> Linux

PERCOBAAN BREAK-IN YANG MUNGKIN! di /var/log/secure — apa artinya ini?

Solusi 1:

Sayangnya ini sekarang menjadi kejadian yang sangat umum. Ini adalah serangan otomatis pada SSH yang menggunakan nama pengguna 'umum' untuk mencoba masuk ke sistem Anda. Pesan tersebut berarti persis seperti yang dikatakannya, bukan berarti Anda telah diretas, hanya saja seseorang telah mencoba.

Solusi 2:

Bagian "KEMUNGKINAN BREAK-IN ATTEMPT" secara khusus, terkait dengan bagian "pemeriksaan pemetaan terbalik getaddrinfo gagal". Ini berarti orang yang terhubung tidak memiliki DNS maju dan mundur yang dikonfigurasi dengan benar. Ini cukup umum, terutama untuk koneksi ISP, yang mungkin menjadi asal "serangan".

Tidak terkait dengan pesan "KEMUNGKINAN BREAK-IN ATTEMPT", orang tersebut sebenarnya mencoba masuk menggunakan nama pengguna dan kata sandi yang umum. Jangan gunakan kata sandi sederhana untuk SSH; sebenarnya ide terbaik untuk menonaktifkan kata sandi sama sekali dan hanya menggunakan kunci SSH.

Solusi 3:

"Apa sebenarnya yang dimaksud dengan "PERCOBAAN PENYELESAIAN YANG MUNGKIN"?"

Ini berarti pemilik netblock tidak memperbarui catatan PTR untuk IP statis dalam jangkauannya, dan mengatakan catatan PTR sudah usang, ATAU sebuah ISP tidak menyiapkan catatan terbalik yang tepat untuk pelanggan IP dinamisnya. Ini sangat umum, bahkan untuk ISP besar.

Anda akhirnya mendapatkan pesan di log Anda karena seseorang yang berasal dari IP dengan catatan PTR yang tidak benar (karena salah satu alasan di atas) sedang mencoba menggunakan nama pengguna umum untuk mencoba SSH ke server Anda (mungkin serangan bruteforce, atau mungkin kesalahan jujur ).

Untuk menonaktifkan lansiran ini, Anda memiliki dua pilihan:

1) Jika Anda memiliki IP statis , tambahkan pemetaan balik Anda ke file /etc/hosts Anda (lihat info lebih lanjut di sini):

10.10.10.10 server.remotehost.com

2) Jika Anda memiliki IP dinamis dan benar-benar ingin menghilangkan lansiran itu, beri komentar "GSSAPIAuthentication yes" di file /etc/ssh/sshd_config Anda.

Solusi 4:

Anda dapat membuat log Anda lebih mudah dibaca dan diperiksa dengan mematikan pencarian terbalik di sshd_config (UseDNS no). Ini akan mencegah sshd mencatat baris "kebisingan" yang berisi "KEMUNGKINAN BREAK-IN ATTEMPT" membuat Anda berkonsentrasi pada baris yang sedikit lebih menarik yang berisi "Pengguna pengguna tidak valid dari IPADDRESS".

Solusi 5:

Tidak perlu login yang berhasil, tetapi apa yang tertulis "mungkin" dan "percobaan".

Beberapa anak nakal atau script kiddie, mengirimi Anda lalu lintas buatan dengan IP asal palsu.

Anda dapat menambahkan batasan IP asal ke kunci SSH Anda, dan mencoba sesuatu seperti fail2ban.


Linux

  1. Apa Artinya “–” (tanda hubung ganda)?

  2. Bagaimana Linux Menangani Beberapa Pemisah Jalur Berturut-turut (/home////username///file)?

  3. Apa Arti Keluaran Dari Xev Ini?

  1. Apa Arti /proc/loadavg ‘S “cpu And Io Utilation”?

  2. Linux – Apa Arti Huruf 'u' Di /dev/urandom?

  3. “e:Sub-proses /usr/bin/dpkg Mengembalikan Kode Kesalahan (1) ” Apa Artinya?

  1. Apa maksud - dalam perintah linux ini?

  2. sintaks file konfigurasi logrotate - beberapa entri wildcard mungkin?

  3. Haruskah situs web berada di /var/ atau /usr/ sesuai dengan penggunaan yang disarankan?