Alguém pode dizer o que isso significa? Eu tentei um comando como lastb
para ver os logins do último usuário e vejo alguns logons estranhos da China (servidor é UE, eu estou na UE). Fiquei me perguntando se poderia haver tentativas de login ou logins bem-sucedidos.
Estes parecem ser muito antigos e, geralmente, eu tranco a porta 22 nos meus IPs, acho que tive a porta aberta por um tempo, o último log é em julho.
root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00)
oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00)
gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - 11:01 (00:00)
gt05 ssh:notty 222.92.89.xx Sat Jul 9 10:40 - 10:40 (00:00)
admin ssh:notty 222.92.89.xx Sat Jul 9 10:18 - 10:18 (00:00)
Respostas:
lastb
mostra apenas falhas de login . Uselast
para ver logins bem-sucedidos.fonte
Ele mostra pessoas tentando fazer upload ou baixar conteúdo. A parte "notty" significa no tty (onde tty é a abreviação de teletype), atualmente não significa monitor ou GUI, e o ssh indica a porta 22, que, em conjunto, significa algo como scp ou rsync.
Portanto, não hackers ou tentativas de login, mas senhas erradas ou incorretas. Pode ser que algum conteúdo tenha sido localizado no google, mas exigia uma senha que alguém tentasse adivinhar.
Na verdade, refletindo, o exposto acima não está certo. Eles podem ter falhado nas tentativas de login via ssh, como suspeitava; e (como eu perdi a primeira vez), eles estão em intervalos regulares de 21 ou 22 minutos, o que sugere um certo grau de automação, mas
lastb
mostra falhas por definição; portanto, esses resultados precisariam ser comparadoslast
para verificar se algum foi bem-sucedido.fonte
Feche a porta 22. Configure seu sshd para escutar em uma porta diferente e instale e execute denyhosts.
fonte
Por que não usar por último ? Por favor, use o comando 'last' e procure ips da china ou fora dos EUA.
Além disso ... homem é seu amigo homem lasttb
Lastb é o mesmo que last, exceto que, por padrão, mostra um log do arquivo / var / log / btmp, que contém todas as tentativas incorretas de login.
fonte
Sim, essas parecem ser tentativas de login, pois o mesmo IP usou vários nomes de usuário para tentar entrar. Provavelmente um ataque da Força Bruta.
Para resolver isso:
Instale o Fail2Ban e bloqueie as tentativas de logon com -1, o que torna o banimento permanente.
Adicione um arquivo de prisão para proteger o SSH. Crie um novo arquivo com o editor Nano ou vi, vim
nano /etc/fail2ban/jail.d/sshd.local
Para o arquivo acima, adicione as seguintes linhas de código.
[sshd]
enabled = true
port = ssh
"#" ação = firewallcmd-ipset
caminho do log =% (sshd_log) s
maxretry = 5
bantime = -1
fonte
RE: lastb
As entradas "ssh: notty" / var / log / btmp indicam tentativas de login com falha a partir do número da porta SSH atribuído em "/ etc / ssh / sshd_config".
Por motivos de segurança, a porta SSH geralmente foi alterada para um número diferente de "22". Portanto, "ssh", nesse contexto, significa apenas o número da porta SSH atualmente atribuída (que não é 22).
Como um handshake de certificado SSH bem-sucedido DEVE sempre ser necessário para acessar a tela de login, quaisquer entradas de log "ssh: notty" provavelmente resultam de suas próprias tentativas de login com falha; geralmente a partir de um nome de usuário digitado incorretamente. Anote o endereço IP associado à entrada do log ... provavelmente é o seu!
"notty" significa "no tty".
Aprenda a segurança básica, como funciona, onde estão os logs e como interpretá-los, onde estão os vários arquivos de configuração e o que as diretivas significam e como configurar o IPTables antes de configurar e usar um servidor Linux. Restrinja os logins a um "endereço IP estático" e limite / restrinja as tentativas de login:
Diretivas de configuração SSH BÁSICAS que restringem logins e apenas permitem logins de usuários e endereços IP específicos:
Não se esqueça de "reiniciar" o serviço SSH após a edição.
Regras BASIC IPTables que permitem apenas conexões SSH a partir de um endereço IP estático específico:
Não se esqueça de "restaurar" as tabelas IP após as alterações.
Em uma LAN ou em um ambiente de nuvem "hospedado", não esqueça de proteger o lado "privado" (adaptador de rede). Seus inimigos muitas vezes já têm acesso à sua rede e entram pela porta dos fundos.
Se você estiver em um ambiente de nuvem como o RackSpace ou o DigitalOcean, e estragar as configurações e se trancar, sempre poderá acessar o console e corrigi-lo. SEMPRE FAÇA CÓPIAS DE ARQUIVOS DE CONFIGURAÇÃO ANTES DE EDITÁ-LO !!!
fonte