web-dev-qa-db-fra.com

question du journal système - auth.log

Je suis assez nouveau ici. Je regardais les journaux de mon système et j'ai remarqué ceci:

Jul 21 00:57:47 htpc sshd[13001]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:49 htpc sshd[13001]: Failed password for root from 188.120.248.13 port 56899 ssh2
Jul 21 00:57:49 htpc sshd[13001]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:52 htpc sshd[13003]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:54 htpc sshd[13003]: Failed password for root from 188.120.248.13 port 54709 ssh2
Jul 21 00:57:54 htpc sshd[13003]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:57 htpc sshd[13005]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:58 htpc sshd[13005]: Failed password for root from 188.120.248.13 port 59488 ssh2
Jul 21 00:57:58 htpc sshd[13005]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]

Ça continue juste. Est-ce que quelqu'un sait ce que c'est exactement?

Merci d'avance.

3
user431432

Robots essayant de deviner votre mot de passe. Lorsque vous avez une adresse IP publique et un service en cours sur un port ouvert, ils essaient tout le temps.

Si vous n'êtes pas spécialement ciblé et que vous avez des mots de passe raisonnablement forts ou une authentification de mot de passe désactivée, ils sont inoffensifs. C'est juste manger votre temps processeur.

Vous pouvez vous battre avec cela en cachant votre service vers un port différent, en le cachant derrière un service de frappe de port (fwknop), ou d'interdire ces demandes à la volée en utilisant fail2ban.

3
Jakuje

Cela ressemble à des tentatives répétées de connexion en tant qu'utilisateur root via ssh, que ce soit une personne réelle ou un bot n'est pas clair ou particulièrement pertinent. Une vérification inversée de l'adresse IP montre qu'elle vient de Russie.

Ce n'est pas une bonne idée de pouvoir ssh dans votre système en tant que root pour précisément cette raison. Bien sûr, si vous avez déjà refusé l'accès ou n'avez pas activé le mot de passe de l'utilisateur root, celui-ci ne pourra pas y accéder de toute façon! Il existe une multitude de réseaux de zombies sur Internet, recherchant des ports ouverts et essayant de déchiffrer les mots de passe. Si le mot de passe est trouvé et que l'utilisateur root peut se connecter via ssh, le contrôle total de votre système sera transféré aux méchants!

Un bon moyen de réduire cela dans l'œuf est de refuser l'accès à la racine via ssh, en ajoutant une ligne au fichier situé dans /etc/ssh/sshd_config. La ligne suivante serait utile d'ajouter:

DenyUsers root

Et/ou

PermitRootLogin no

Faites en sorte que le service ssh recharge vos modifications avec:

Sudo service ssh restart

Un excellent lien sur le renforcement de votre serveur ssh peut être trouvé ici.

2
Arronical