我正在运行 Google Cloud Rocky Linux 实例
对于某些操作,需要 SFTP
我发现了一些关于来自未知 IP 的 sshd 登录尝试,下面是有限的日志
Mar 09 15:29:16 server-name sshd[1533432]: Invalid user user from 64.227.164.1 port 42140
Mar 09 15:29:16 server-name sshd[1533424]: Connection closed by authenticating user root 64.227.164.1 port 42120 [preauth]
Mar 09 15:29:16 server-name sshd[1533423]: Connection closed by invalid user admin 64.227.164.1 port 42092 [preauth]
Mar 09 15:29:16 server-name sshd[1533427]: Connection closed by authenticating user root 64.227.164.1 port 42128 [preauth]
Mar 09 15:29:16 server-name sshd[1533425]: Connection closed by invalid user guest 64.227.164.1 port 41830 [preauth]
Mar 09 15:29:16 server-name sshd[1533429]: Connection closed by invalid user ali 64.227.164.1 port 42074 [preauth]
Mar 09 15:29:16 server-name sshd[1533432]: Connection closed by invalid user user 64.227.164.1 port 42140 [preauth]
做了一些研究后,我发现这个用于64.227.164.1 IP
我想知道我是否可以采取任何措施来阻止这些连接(例如在短时间内标记和阻止来自同一 IP 的多次尝试),因为我不希望系统出现漏洞
亲切的问候
如果你有一个公共 IP 那么不,你不能阻止这些。总是有人敲门——您甚至可以在家庭路由器日志中看到这些。
这只是使用单词列表的暴力破解。因此,阻止它们的第一件事就是禁用 root 的 SSH 访问。或者因为这是一个云系统,请在需要时禁用所有根访问权限
sudo
。其次,确保没有默认用户名,如 admin、guest 或 user。此外,我会让我的实际用户帐户比 john 或 mary 更有想象力。
第三,确保您的防火墙配置正确并且是最新的。不要打开您绝对不需要的端口。最终这就是它的工作,将这些门环拒之门外。
您还可以像 SSHGuard Colin 建议的那样添加另一层安全性。在我分析过的这些敲门声中,大约 95% 来自网络托管服务 IP 范围,来自单个地址的尝试通常不会持续很长时间。
像https://www.sshguard.net/这样的东西会起作用——它会监视你的 SSH 日志并阻止试图暴力破解你登录的 IP。