有人能说出这是什么意思吗?我尝试了一个类似lastb查看上次用户登录的命令,我看到了一些来自中国的奇怪登录(服务器是欧盟,我在欧盟)。我想知道这些是登录尝试还是成功登录?
这些似乎很旧,通常我只将端口 22 锁定到我的 IP,我想我已经打开了一段时间的端口,最后一个日志是在 7 月。
root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00)
oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00)
gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - 11:01 (00:00)
gt05 ssh:notty 222.92.89.xx Sat Jul 9 10:40 - 10:40 (00:00)
admin ssh:notty 222.92.89.xx Sat Jul 9 10:18 - 10:18 (00:00)
lastb只显示登录失败。用于last查看成功登录。它显示人们试图上传或下载内容。“notty”部分表示没有 tty(其中 tty 是电传打字机的缩写),现在表示没有监视器或 gui,而 ssh 表示端口 22,它们合起来表示类似 scp 或 rsync 的东西。
所以不是黑客攻击或登录尝试,而是错误或输入错误的密码。可能是某些内容是通过谷歌找到的,但需要有人试图猜测的密码。
其实,仔细想想,上述说法也不对。正如提问者所怀疑的那样,它们可能是通过 ssh 登录尝试失败;并且(正如我第一次错过的那样)它们以 21 或 22 分钟的固定间隔出现,这表明一定程度的自动化,但
lastb根据定义显示失败,因此需要将这些结果进行比较last以查看是否有任何成功。关闭端口 22。将 sshd 配置为侦听不同的端口,然后安装并运行 denyhosts。
为什么不使用last?
请使用'last' 命令,查找来自中国或美国以外的IP。
还有……男人是你的朋友
man lasttbLastb 与 last 相同,除了默认情况下它显示文件的日志
/var/log/btmp,其中包含所有错误的登录尝试。是的,这些似乎是登录尝试,因为同一 IP 使用多个用户名尝试登录。很可能是蛮力攻击。
要解决此问题:
安装 Fail2Ban 并使用 -1 阻止失败的登录尝试,这使他们的禁令永久化。
添加一个 jail 文件来保护 SSH。使用 Nano 编辑器或 vi , vim 创建一个新文件
纳米/etc/fail2ban/jail.d/sshd.local
在上述文件中,添加以下代码行。
[sshd]
启用 = 真
端口=ssh
“#”action = firewallcmd-ipset
日志路径 = %(sshd_log)s
最大重试 = 5
bantime = -1
RE: 最后一个
“ssh:notty”/var/log/btmp 条目表示从“/etc/ssh/sshd_config”中分配的 SSH 端口号登录尝试失败。
出于安全原因,SSH 端口通常已更改为“22”以外的数字。因此,在此上下文中,“ssh”仅表示当前分配的(非 22)SSH 端口号。
因为成功的 SSH 证书握手应该始终需要到达登录屏幕,所以任何“ssh:notty”日志条目都可能是您自己登录尝试失败的结果;通常来自错误输入的用户名。请注意与日志条目关联的 IP 地址……它可能是您自己的!
“notty”的意思是“没有tty”。
在设置和使用 Linux 服务器之前,了解基本的安全性、它是如何工作的、日志在哪里以及如何解释它们、各种配置文件在哪里以及指令的含义以及如何配置 IPTables。限制登录到“静态 IP 地址”并限制/限制登录尝试:
限制登录并仅允许来自特定用户和 IP 地址的登录的基本 SSH 配置指令:
不要忘记在编辑后“重启”SSH 服务。
仅允许来自特定静态 IP 地址的 SSH 连接的 BASIC IPTables 规则:
不要忘记在更改后“恢复”IP 表。
在 LAN 或“托管”云环境中,不要忘记保护“专用”端(网络适配器)。您的敌人通常已经可以访问您的网络并通过后门进入。
如果您在 RackSpace 或 DigitalOcean 等云环境中,并且弄乱了配置并将自己锁在外面,您始终可以通过控制台进入并修复它。始终在编辑配置文件之前复制它们!!!