Recentemente configurato un server, Serve aiuto per la sicurezza

4

Ho configurato un server in esecuzione debian Ho aperto la porta 22 che consente l'accesso a ssh nella porta. Continuo a ricevere strani messaggi nel mio log del router dicendo: [Accesso LAN dal remoto] da 211.161.46.101:57201 a 10.xx.xx.xx:22

Ho cercato l'indirizzo IP e ho detto qualcosa sull'essere di Pechino. Sono stato hackerato? Ho cambiato la password sul login del server una volta e ora dice la stessa cosa ma con un indirizzo IP diverso.

    
posta Sean 17.03.2012 - 16:08
fonte

2 risposte

8

Ci sono quattro cose che consiglierei di mantenere il tuo SSH più sicuro e prevenire attacchi del genere. Non posso necessariamente dire se si è davvero fatto strada nella tua scatola, o se ha appena tentato e fallito, ma sicuramente cambia alcune di queste opzioni quindi sarà molto più difficile che qualcosa del genere accada in futuro.

  • Disabilita i login di root: vuoi assicurarti che qualcuno stia effettuando l'accesso tramite SSH, non sarà in grado di accedere subito a root
  • Abilita autenticazione chiave pubblica: purtroppo questa parte richiede un po 'più di tempo per essere implementata, ma è molto meglio e sicuramente aiuterà a prevenire accessi non autorizzati.
  • Cambia la porta predefinita: questo è un po 'più di sicurezza attraverso l'oscurità, ma il tuo server è stato più che probabile trovato perché c'è un bot scanner casuale che esegue la scansione di IP casuali per una porta aperta (22). Se lo cambi in qualcos'altro (ma preferibilmente qualcosa sotto 1024), è molto meno probabile che venga rilevato da uno scanner.
  • Puoi utilizzare un programma di blacklist come DenyHosts o altri che ti permettono di inserire in una lista nera determinati IP dopo un certo numero di tentativi falliti.

Per vedere se il tuo server è stato compromesso, controlla i tuoi log ssh. Ti consente di sapere quali nomi utente sono stati tentati per l'accesso e se hanno avuto successo nel farlo.

    
risposta data 17.03.2012 - 17:51
fonte
2

I'm A Person elenca alcuni buoni passaggi. Vorrei aggiungere che l'uso della direttiva AllowUsers in sshd_config consente di specificare che solo alcuni utenti possono accedere - ad es. "AllowUsers imaperson" significa che imaperson può accedere ma qualsiasi tentativo di accedere a root, apache, postgres o qualsiasi altro account sul sistema fallirebbe, anche con una password corretta. Questo fa un passo in più rispetto a 'PermitRootLogin no'.

Per rispondere alla tua domanda più ampia, non sei stato hackerato di per sé; verrai automaticamente scansionato. Continua quasi ininterrottamente e ciecamente su Internet, ed è per questo che sono a parere di una persona che la porta predefinita è utile. Il mio server personale ha avuto circa 200 tentativi nelle ultime 12 ore, che è normale o addirittura basso. È generalmente rumore e non un attacco mirato a te.

Tentativi non riusciti nelle ultime 12 ore:

145 root
 10 bin
  1 mail
  1 news
  1 postgres
    
risposta data 20.03.2012 - 17:06
fonte

Leggi altre domande sui tag