Score:1

SSHD: ความแตกต่างระหว่าง "การเชื่อมต่อปิด..." และ "ตัดการเชื่อมต่อจาก..." ในล็อกไฟล์

ธง es

บริการ sshd บนเซิร์ฟเวอร์ Ubuntu ของฉันอยู่ภายใต้การโจมตีอย่างต่อเนื่องสำหรับ IP และรหัสผู้ใช้ต่างๆ

ตาม /var/log/auth.log มีสามประเภทที่แตกต่างกันของความล้มเหลวจากรหัสที่ไม่รู้จักและที่อยู่ IP:

  • ตัดการเชื่อมต่อจากผู้ใช้ที่ไม่ถูกต้อง...
  • การเชื่อมต่อถูกปิดโดยผู้ใช้ที่ไม่ถูกต้อง...
  • ปิดการเชื่อมต่อโดย xxx.xxx.xxx.xxx

อะไรคือความแตกต่างระหว่างทั้งสาม? สิ่งเหล่านี้แนะนำให้เข้าสู่ระบบสำเร็จ (ไม่ได้รับอนุญาต) หรือไม่ โดยเฉพาะอันสุดท้าย...

ฉัน สมมติ ทั้งหมดนี้เป็นความพยายามที่ล้มเหลว เนื่องจากฉันได้กำหนดค่าเซิร์ฟเวอร์ SSH ให้ต้องใช้ Pubkey จาก IP ที่ไม่ใช่ LAN และจำกัดการเข้าสู่ระบบไว้ที่ ID ผู้ใช้ที่ไม่ใช่รูทเดียวเท่านั้น

แต่ตามจริงแล้ว ฉันไม่ทราบวิธีการตรวจสอบว่ามีการตั้งค่าข้อควรระวังด้านความปลอดภัยเหล่านี้อย่างถูกต้อง หากคีย์ผับของฉันไม่ถูกบุกรุก หรือกลไกการตรวจสอบสิทธิ์รหัสผ่านเซิร์ฟเวอร์ของฉันไม่ถูกบุกรุก ดังนั้นฉันจึงไม่สามารถพูดได้อย่างแน่นอนว่านี่เป็นความพยายามที่ล้มเหลวทั้งหมด

ฉันพยายามใช้ ล้มเหลว 2 แบน เพื่อป้องกันการโจมตีซ้ำจากบาง IP แต่นี่เป็นความล้มเหลวครั้งใหญ่ อันดับแรก ไม่ช้าไปกว่า 24 ชั่วโมงต่อมา ผู้โจมตีได้เปลี่ยนไปใช้ที่อยู่ IP ที่ไม่ซ้ำกันหลายร้อยรายการ ประการที่สอง (และที่น่ากังวลกว่านั้น) ล้มเหลว 2 แบน ดูเหมือนจะไม่ยอมรับการพยายามซ้ำซึ่งส่งผลให้ ปิดการเชื่อมต่อโดย xxx.xxx.xxx.xxx.

Score:1
ธง il

ในข้อตกลงกับ @tilman-schmidt เพียงไม่กี่เซ็นต์จากฝ่ายของฉัน (เกี่ยวกับความล้มเหลว 2 แบน ฯลฯ )...

ผู้คน OpenSSH เปลี่ยนพฤติกรรมการบันทึกอย่างต่อเนื่อง ดังนั้นจึงอาจไม่ถูกพิจารณาโดย fail2ban ตามค่าเริ่มต้น (ขึ้นอยู่กับว่าการตัดการเชื่อมต่อเกิดขึ้นที่ใด เช่นในขั้นตอนการตรวจสอบสิทธิ์หรือหลังจากได้รับชื่อผู้ใช้ ตลอดจนวิธีการตรวจสอบสิทธิ์ที่อนุญาตใน sshd ของคุณ เช่นเดียวกับพฤติกรรม "ผู้บุกรุก")

อย่างน้อยฉันก็ตั้งค่า LogLevel VERBOSE ใน sshd_config ตามที่อธิบายไว้ใน /etc/fail2ban/filter.d/sshd.conf

บันทึกคำตอบนี้สำหรับคำถามที่คล้ายกันด้วย - https://unix.stackexchange.com/questions/662946/fail2ban-regex-help-for-banning-sshd-connection-attempts/663002#663002

ไม่เร็วกว่า 24 ชั่วโมงต่อมา ผู้โจมตีเปลี่ยนไปยังการหมุนเวียนผ่านที่อยู่ IP ที่ไม่ซ้ำกันหลายร้อยรายการ

สิ่งนี้ไม่เกี่ยวข้องกับการใช้ fail2ban - สแกนเนอร์ เนื่องจากพบ sshd listener จึง "เผยแพร่" ในบางรายการ ดังนั้นการสแกนที่ลึกขึ้น (เช่น ด้วยบอทเน็ตแบบกระจาย) สามารถเริ่มต้นได้ นี่คือชะตากรรมที่น่าเสียใจของเซิร์ฟเวอร์ใด ๆ ที่มีพอร์ตเปิดสู่ภายนอก

คุณสามารถลองเปลี่ยนพอร์ต ssh เป็นอย่างอื่นได้ แต่มันจะหลีกเลี่ยงสคริปต์ตัวเล็กเพียงครึ่งเดียว (ถ้าคุณห้ามความพยายามในการสแกนพอร์ต) และโดยพื้นฐานแล้วไม่ใช่ยาครอบจักรวาลเลย แต่คุณสามารถลดจำนวนผู้บุกรุกได้อย่างมาก อย่างน้อยในช่วงเวลาสั้นๆ ถึงไม่กี่เดือน สิ่งที่อาจช่วยได้อย่างแน่นอนคือการเปิดใช้งาน bantime.increment ใน fal2ban (สำหรับคุก sshd หรือโดยค่าเริ่มต้น)

ดูเหมือนว่า Failed2ban จะไม่ยอมรับความพยายามซ้ำๆ ที่ส่งผลให้การเชื่อมต่อถูกปิดโดย

สิ่งนี้ไม่ถูกต้องเสียทีเดียว คุณต้องตั้งค่า โหมด = ก้าวร้าว สำหรับ sshd ติดคุก คุก.local เพื่ออนุญาตให้ fail2ban พิจารณา "การโจมตี" ทุกประเภท (ไม่ใช่ปัญหาการตรวจสอบเท่านั้น) ซึ่งเกิดขึ้นโดยเครื่องสแกนพอร์ตและสิ่งที่คล้ายกัน DoS

และคุณสามารถดูสิ่งที่ Fail2ban จะพบได้อย่างแน่นอนด้วยตัวกรองปัจจุบันของคุณด้วยคำสั่งนี้ (หมายเหตุ จับคู่ ในบรรทัดสุดท้ายจากผลลัพธ์):

fail2ban-regex /var/log/auth.log 'sshd[mode=aggressive]'
codechimp avatar
es flag
ขอบคุณสำหรับคำแนะนำเกี่ยวกับ `fail2ban` ฉันรู้ว่ามันไม่ใช่ความผิด `fail2ban` ในการเปลี่ยนพอร์ต นั่นเป็นความคิดที่ไม่เลว ยกเว้นว่าฉันมีพอร์ต ssh อื่นที่พวกเขายังหาไม่พบ ฉันอยากให้พวกเขาต่อสู้กับสิ่งที่พวกเขาพบแล้ว
Score:1
ธง bd

ข้อความ:

ตัดการเชื่อมต่อจากผู้ใช้ที่ไม่ถูกต้อง
การเชื่อมต่อถูกปิดโดยผู้ใช้ที่ไม่ถูกต้อง

ทั้งสองระบุการพยายามเข้าสู่ระบบที่ล้มเหลวด้วยชื่อผู้ใช้ที่ไม่มีอยู่บนเซิร์ฟเวอร์ของคุณ ความแตกต่างเป็นเพียงรายละเอียดเล็กๆ น้อยๆ ในวิธีการตัดการเชื่อมต่อ

ความพยายามที่ล้มเหลวด้วยชื่อผู้ใช้ที่มีอยู่จะถูกบันทึกเป็น:

การเชื่อมต่อถูกปิดโดยการตรวจสอบสิทธิ์ผู้ใช้ 

การเข้าสู่ระบบที่สำเร็จจะถูกบันทึกเป็น:

คีย์สาธารณะที่ยอมรับสำหรับ

ข้อความ:

ปิดการเชื่อมต่อโดย <ipaddress>

(ไม่มีการกล่าวถึงผู้ใช้) บ่งชี้ถึงการเชื่อมต่อกับพอร์ต ssh ของเซิร์ฟเวอร์ของคุณซึ่งไม่มีการพยายามตรวจสอบสิทธิ์ เช่น เพื่อเข้าสู่ระบบจริง โดยปกติจะเป็นการสแกนเพื่อรวบรวมพอร์ต ssh ที่เปิดอยู่และเวอร์ชันเซิร์ฟเวอร์ ssh ที่ใช้เพื่อค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่ที่รู้จัก เนื่องจากความพยายามดังกล่าวซ้ำๆ ไม่ได้เพิ่มความเสี่ยง จึงไม่สมเหตุสมผล ล้มเหลว 2 แบน เพื่อบล็อกพวกเขา

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา