相當不對勁, 因為我鮮少有輸錯密碼失手的紀錄, 另外那個時間點我人不在電腦前, 我也還沒試過使用 SSH 登入, 所以大致上就是被人家踹過了吧?
雖然 Fedora 有在圖形介面下提供系統紀錄的公用程式, 但是最重要的登入紀錄卻沒有列在裡頭, 因此還是要請教 Google 看原本的檔案紀錄該上哪找, 找了之後利用 last 指令得出了這個畫面:
一共有兩個來源, 用 Geotool 分別驗證的結果一個是美國的 monitor.vr.org , 一個則是大陸的北京網通, 雖然不知道這兩個沒事找自己的電腦是要作什麼的, 但是看到有這個莫名的紀錄總是心裡不太舒服...
剛好, 利用 "ssh:notty" 找問題時也看到有別人有相同的問題, 這時底下給了一個簡單的方案, 就是直接建立一個 iptables 的規則直接忽略垃圾流量:
iptables -N AUTOBAN
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j AUTOBAN
iptables -A AUTOBAN -m recent --set --name SSH
iptables -A AUTOBAN -m recent --update --seconds 120 --hitcount 4 --name SSH -j DROP
建立一個AUTOBAN規則, 條件是兩分鐘內踹超過四次 SSH 的會被自動忽略掉.
不過要注意一點的是, 假如是主機真的是多人連線伺服器或是自己會開多重工作階段的人可能也會被誤判, 這時可能就還要再加例外來排除自己的網段.
資料參考:
/var/log 底下幾個跟使用者登入有關的檔案 @ 走過的、學過的、看過的.
鳥哥的 Linux 私房菜 -- 登錄檔的分析.
[SOLVED] Newbie - what to do about huge number attempted ssh logins @ Linux Questions.
沒有留言:
張貼留言