SSHD: ความแตกต่างระหว่าง "การเชื่อมต่อปิด..." และ "ตัดการเชื่อมต่อจาก..." ในล็อกไฟล์

บริการ sshd บนเซิร์ฟเวอร์ Ubuntu ของฉันอยู่ภายใต้การโจมตีอย่างต่อเนื่องสำหรับ IP และรหัสผู้ใช้ต่างๆ

ตาม /var/log/auth.log มีสามประเภทที่แตกต่างกันของความล้มเหลวจากรหัสที่ไม่รู้จักและที่อยู่ IP:

• ตัดการเชื่อมต่อจากผู้ใช้ที่ไม่ถูกต้อง...
• การเชื่อมต่อถูกปิดโดยผู้ใช้ที่ไม่ถูกต้อง...
• ปิดการเชื่อมต่อโดย xxx.xxx.xxx.xxx

อะไรคือความแตกต่างระหว่างทั้งสาม? สิ่งเหล่านี้แนะนำให้เข้าสู่ระบบสำเร็จ (ไม่ได้รับอนุญาต) หรือไม่ โดยเฉพาะอันสุดท้าย...

ฉัน สมมติ ทั้งหมดนี้เป็นความพยายามที่ล้มเหลว เนื่องจากฉันได้กำหนดค่าเซิร์ฟเวอร์ SSH ให้ต้องใช้ Pubkey จาก IP ที่ไม่ใช่ LAN และจำกัดการเข้าสู่ระบบไว้ที่ ID ผู้ใช้ที่ไม่ใช่รูทเดียวเท่านั้น

แต่ตามจริงแล้ว ฉันไม่ทราบวิธีการตรวจสอบว่ามีการตั้งค่าข้อควรระวังด้านความปลอดภัยเหล่านี้อย่างถูกต้อง หากคีย์ผับของฉันไม่ถูกบุกรุก หรือกลไกการตรวจสอบสิทธิ์รหัสผ่านเซิร์ฟเวอร์ของฉันไม่ถูกบุกรุก ดังนั้นฉันจึงไม่สามารถพูดได้อย่างแน่นอนว่านี่เป็นความพยายามที่ล้มเหลวทั้งหมด

ฉันพยายามใช้ ล้มเหลว 2 แบน เพื่อป้องกันการโจมตีซ้ำจากบาง IP แต่นี่เป็นความล้มเหลวครั้งใหญ่ อันดับแรก ไม่ช้าไปกว่า 24 ชั่วโมงต่อมา ผู้โจมตีได้เปลี่ยนไปใช้ที่อยู่ IP ที่ไม่ซ้ำกันหลายร้อยรายการ ประการที่สอง (และที่น่ากังวลกว่านั้น) ล้มเหลว 2 แบน ดูเหมือนจะไม่ยอมรับการพยายามซ้ำซึ่งส่งผลให้ ปิดการเชื่อมต่อโดย xxx.xxx.xxx.xxx.

ในข้อตกลงกับ @tilman-schmidt เพียงไม่กี่เซ็นต์จากฝ่ายของฉัน (เกี่ยวกับความล้มเหลว 2 แบน ฯลฯ )...

ผู้คน OpenSSH เปลี่ยนพฤติกรรมการบันทึกอย่างต่อเนื่อง ดังนั้นจึงอาจไม่ถูกพิจารณาโดย fail2ban ตามค่าเริ่มต้น (ขึ้นอยู่กับว่าการตัดการเชื่อมต่อเกิดขึ้นที่ใด เช่นในขั้นตอนการตรวจสอบสิทธิ์หรือหลังจากได้รับชื่อผู้ใช้ ตลอดจนวิธีการตรวจสอบสิทธิ์ที่อนุญาตใน sshd ของคุณ เช่นเดียวกับพฤติกรรม "ผู้บุกรุก")

อย่างน้อยฉันก็ตั้งค่า LogLevel VERBOSE ใน sshd_config ตามที่อธิบายไว้ใน /etc/fail2ban/filter.d/sshd.conf

บันทึกคำตอบนี้สำหรับคำถามที่คล้ายกันด้วย - https://unix.stackexchange.com/questions/662946/fail2ban-regex-help-for-banning-sshd-connection-attempts/663002#663002

ไม่เร็วกว่า 24 ชั่วโมงต่อมา ผู้โจมตีเปลี่ยนไปยังการหมุนเวียนผ่านที่อยู่ IP ที่ไม่ซ้ำกันหลายร้อยรายการ

สิ่งนี้ไม่เกี่ยวข้องกับการใช้ fail2ban - สแกนเนอร์ เนื่องจากพบ sshd listener จึง "เผยแพร่" ในบางรายการ ดังนั้นการสแกนที่ลึกขึ้น (เช่น ด้วยบอทเน็ตแบบกระจาย) สามารถเริ่มต้นได้ นี่คือชะตากรรมที่น่าเสียใจของเซิร์ฟเวอร์ใด ๆ ที่มีพอร์ตเปิดสู่ภายนอก

คุณสามารถลองเปลี่ยนพอร์ต ssh เป็นอย่างอื่นได้ แต่มันจะหลีกเลี่ยงสคริปต์ตัวเล็กเพียงครึ่งเดียว (ถ้าคุณห้ามความพยายามในการสแกนพอร์ต) และโดยพื้นฐานแล้วไม่ใช่ยาครอบจักรวาลเลย แต่คุณสามารถลดจำนวนผู้บุกรุกได้อย่างมาก อย่างน้อยในช่วงเวลาสั้นๆ ถึงไม่กี่เดือน สิ่งที่อาจช่วยได้อย่างแน่นอนคือการเปิดใช้งาน bantime.increment ใน fal2ban (สำหรับคุก sshd หรือโดยค่าเริ่มต้น)

ดูเหมือนว่า Failed2ban จะไม่ยอมรับความพยายามซ้ำๆ ที่ส่งผลให้การเชื่อมต่อถูกปิดโดย

สิ่งนี้ไม่ถูกต้องเสียทีเดียว คุณต้องตั้งค่า โหมด = ก้าวร้าว สำหรับ sshd ติดคุก คุก.local เพื่ออนุญาตให้ fail2ban พิจารณา "การโจมตี" ทุกประเภท (ไม่ใช่ปัญหาการตรวจสอบเท่านั้น) ซึ่งเกิดขึ้นโดยเครื่องสแกนพอร์ตและสิ่งที่คล้ายกัน DoS

และคุณสามารถดูสิ่งที่ Fail2ban จะพบได้อย่างแน่นอนด้วยตัวกรองปัจจุบันของคุณด้วยคำสั่งนี้ (หมายเหตุ จับคู่ ในบรรทัดสุดท้ายจากผลลัพธ์):

fail2ban-regex /var/log/auth.log 'sshd[mode=aggressive]'