¿Alguien puede decir qué significa esto? Intenté un comando como lastb
ver los inicios de sesión de los últimos usuarios y veo algunos inicios de sesión extraños de China (el servidor es UE, estoy en la UE). Me preguntaba si estos podrían ser intentos de inicio de sesión o inicios de sesión exitosos.
Estos parecen ser muy antiguos y usualmente cierro el puerto 22 solo a mis IP, creo que tuve el puerto abierto por un tiempo, el último registro es en julio.
root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00)
oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00)
gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - 11:01 (00:00)
gt05 ssh:notty 222.92.89.xx Sat Jul 9 10:40 - 10:40 (00:00)
admin ssh:notty 222.92.89.xx Sat Jul 9 10:18 - 10:18 (00:00)
Respuestas:
lastb
solo muestra fallas de inicio de sesión . Uselast
para ver inicios de sesión exitosos.fuente
Muestra a las personas que intentan cargar o descargar contenido. La parte "notty" significa que no hay tty (donde tty es la abreviatura de teletipo) que en estos días significa que no hay monitor ni interfaz gráfica de usuario, y el ssh indica el puerto 22, que en conjunto significa algo así como scp o rsync.
Por lo tanto, no hackear o iniciar sesión, sino contraseñas incorrectas o mal escritas. Es posible que algún contenido se haya encontrado a través de Google, pero requiere una contraseña que alguien trató de adivinar.
En realidad, en la reflexión, lo anterior no es correcto. Podrían ser intentos fallidos de inicio de sesión a través de ssh, como sospechaba el interlocutor; y (como perdí la primera vez) están en intervalos regulares de 21 o 22 minutos, lo que sugiere un grado de automatización, pero
lastb
muestra fallas por definición, por lo que estos resultados tendrían que compararselast
para ver si alguno fue exitoso.fuente
Cierre el puerto 22. Configure su sshd para escuchar en un puerto diferente e instale y ejecute denyhosts.
fuente
¿Por qué no usar el último ? Utilice el comando 'último' y busque ips desde China o fuera de EE. UU.
Además ... hombre es tu amigo hombre lasttb
Lastb es igual que el último, excepto que, de manera predeterminada, muestra un registro del archivo / var / log / btmp, que contiene todos los intentos de inicio de sesión incorrectos.
fuente
Sí, parecen ser intentos de inicio de sesión, ya que la misma IP usó varios nombres de usuario para intentar ingresar. Lo más probable es un ataque de fuerza bruta.
Para resolver esto:
Instale Fail2Ban y bloquee los intentos fallidos de inicio de sesión con un -1, esto hace que su prohibición sea permanente.
Agregue un archivo de cárcel para proteger SSH. Cree un nuevo archivo con el editor Nano o vi, vim
nano /etc/fail2ban/jail.d/sshd.local
Al archivo anterior, agregue las siguientes líneas de código.
[sshd]
habilitado = verdadero
puerto = ssh
"#" action = firewallcmd-ipset
logpath =% (sshd_log) s
maxretry = 5
bantime = -1
fuente
RE: lastb
Las entradas "ssh: notty" / var / log / btmp indican intentos fallidos de inicio de sesión desde el número de puerto SSH asignado en "/ etc / ssh / sshd_config".
Por razones de seguridad, el puerto SSH generalmente se habrá cambiado a un número que no sea "22". Entonces, "ssh", en este contexto, simplemente significa el número de puerto SSH asignado actualmente (no 22).
Debido a que un apretón de manos de certificado SSH exitoso DEBE siempre ser requerido para llegar a la pantalla de inicio de sesión, cualquier entrada de registro "ssh: notty" probablemente resulte de sus propios intentos fallidos de inicio de sesión; generalmente de un nombre de usuario mal escrito. Tenga en cuenta la dirección IP asociada con la entrada del registro ... ¡probablemente sea la suya!
"notty" significa "no tty".
Aprenda la seguridad básica, cómo funciona, dónde están los registros y cómo interpretarlos, y dónde están los diversos archivos de configuración y qué significan las directivas, y cómo configurar IPTables, antes de configurar y usar un servidor Linux. Restrinja los inicios de sesión a una "dirección IP estática" y limite / vuelva a marcar los intentos de inicio de sesión:
Directivas básicas de configuración SSH que restringen los inicios de sesión y solo permiten inicios de sesión de usuarios particulares y direcciones IP:
No olvide "reiniciar" el servicio SSH después de editarlo.
Reglas básicas de IPTables que solo permiten conexiones SSH desde una dirección IP estática particular:
No olvide "restaurar" las tablas IP después de los cambios.
En una LAN, o en un entorno de nube "alojado", no olvide asegurar el lado "privado" (adaptador de red). Sus enemigos a menudo ya tienen acceso a su red y entran por la puerta de atrás.
Si se encuentra en un entorno de nube como RackSpace o DigitalOcean, y daña las configuraciones y se bloquea, siempre puede ingresar a la consola y solucionarlo. ¡SIEMPRE HAGA COPIAS DE LOS ARCHIVOS DE CONFIGURACIÓN ANTES DE EDITARLOS!
fuente