Vraag Hoe kan ik mislukte SSH-inlogpogingen bijhouden?


Ik zou willen zien of iemand heeft geprobeerd in te loggen met brute kracht in mijn Ubuntu 12.04-server via SSH. Hoe kan ik zien of dergelijke activiteiten hebben plaatsgevonden?


124
2017-08-20 06:32


oorsprong




antwoorden:


Alle inlogpogingen worden geregistreerd bij /var/log/auth.log.

1. Filter voor brute-force interactieve SSH-aanmeldingen

Open een terminal en typ de onderstaande; als het langer is dan 1 pagina kun je op en neer scrollen; type q verlaten:

grep sshd.\*Failed /var/log/auth.log | less
  • Hier is een echt voorbeeld van een van mijn VPS's:

    18 augustus 11:00:57 izxvps sshd [5657]: Wachtwoord mislukt voor root van 95.58.255.62 poort 38980 ssh2
    18 augustus 23:08:26 izxvps sshd [5768]: Wachtwoord mislukt voor root van 91.205.189.15 poort 38156 ssh2
    18 augustus 23:08:30 izxvps sshd [5770]: Mislukt wachtwoord voor niemand van 91.205.189.15 poort 38556 ssh2
    18 augustus 23:08:34 izxvps sshd [5772]: Mislukt wachtwoord voor ongeldige gebruiker asterisk van 91.205.189.15 poort 38864 ssh2
    18 augustus 23:08:38 izxvps sshd [5774]: Mislukt wachtwoord voor ongeldige gebruikerssjobeck van 91.205.189.15 poort 39157 ssh2
    18 augustus 23:08:42 izxvps sshd [5776]: Wachtwoord mislukt voor root van 91.205.189.15 poort 39467 ssh2
    

2. Zoek naar mislukt verbindingen (d.w.z. geen inlogpoging, kan een poortscanner zijn, enz.):

Gebruik deze opdracht:

grep sshd.*Did /var/log/auth.log | less
  • Voorbeeld:

    5 augustus 22:19:10 izxvps sshd [7748]: Heeft geen identificatiestring ontvangen van 70.91.222.121
    10 augustus 19:39:49 izxvps sshd [1919]: Geen identificatiestring ontvangen van 50.57.168.154
    13 augustus 23:08:04 izxvps sshd [3562]: Geen identificatiestring ontvangen van 87.216.241.19
    17 augustus 15:49:07 izxvps sshd [5350]: Geen identificatiestring ontvangen van 211.22.67.238
    19 augustus 06:28:43 izxvps sshd [5838]: Geen identificatiestring ontvangen van 59.151.37.10
    

Hoe mislukte / brute force inlogpogingen te verminderen

  • Probeer uw SSH van een standaardpoort 22 naar een niet-standaardpoort om te schakelen
  • Of installeer een automatisch verbodscript zoals fail2banInstall fail2ban.

139
2017-08-20 06:48



Hoeveel beveiliging krijg je bij het omschakelen van de SSH-poort (kunnen ze je niet gewoon scannen zoals je zegt) en is het de moeite waard dat kleine bruikbaarheid voor legitieme gebruikers wordt geraakt? - Nick T
@NickT blijkt voldoende te zijn om inlogpogingen aanzienlijk te verminderen. Waar ik duizenden pogingen zou krijgen in een week / dag, tot nu toe heb ik die de afgelopen maand nog niet gehad, simpelweg door de poort om te schakelen. - AntoineG
Ik denk dat inloggen met een wachtwoord niet mogelijk is. - Luc M
ik weet dat dit ubuntu is, ik wilde alleen vermelden dat op sommige systemen zoals centos het bestandspad is /var/log/secure - lfender6445
Sommige systemen hebben toegang tot het logboek systemctl -eu sshd - alecdwm


Ik zou willen beweren dat monitoring logs een zwakke oplossing is, vooral als je een zwak wachtwoord op een account hebt. Brute pogingen proberen vaak ten minste honderden toetsen per minuut. Zelfs als u een cron-taak hebt ingesteld om u e-mail te sturen van brute pogingen, kan het uren duren voordat u bij uw server bent.

Als u een openbare SSH-server hebt, u nodig hebben een oplossing die van start gaatlang voordat je gehackt kunt worden.

Ik zou het ten zeerste aanbevelen fail2ban. Hun wiki zegt wat het beter doet dan ik kan.

Fail2ban scant logbestanden (bijv. /var/log/apache/error_log) en verbiedt IP's die de kwaadwillende tekens vertonen - te veel wachtwoordfouten, zoeken naar exploits, etc. Over het algemeen werd Fail2Ban vervolgens gebruikt om firewallregels bij te werken om de IP-adressen gedurende een bepaalde tijd te weigeren, hoewel elke willekeurige andere actie (bijv. een e-mail of het uitwerpen van een cd-rom-lade) kan ook worden geconfigureerd. Out of the box Fail2Ban wordt geleverd met filters voor verschillende services (apache, curier, ssh, enz.).

Bescherming krijgen is net zo eenvoudig als sudo apt-get install fail2ban.

Standaard krijgt iemand van zodra drie mislukte pogingen heeft, een IP-verbod van vijf minuten. Dat soort vertraging stopt in wezen een poging tot SSH-bruutkracht, maar het zal je dag niet verpesten als je je wachtwoord vergeet (maar je zou toch sleutels moeten gebruiken!)


67
2017-08-23 09:12



Waarom heet het om te verbannen? - Pacerier
@Pacerier Goed met wat analogie, leidt login mislukking tot (2) een verbod. - Sebi
Bwahaha je hebt mijn dag @Pacerier gemaakt Ik heb er nooit aan gedacht als een letterlijke "failure to ban". - adelriosantiago
Ik denk dat dit moet worden bewerkt om "met name" uit de eerste zin te verwijderen. Haar enkel en alleen een probleem als u een zwak wachtwoord heeft. Sterke wachtwoorden kunnen onder geen enkele omstandigheid brutaal worden geforceerd en de enige reden om te voorkomen dat mensen het proberen, is het verminderen van de serverbelasting. - Abhi Beckert