我正在运行一个Gentoo
Linux服务器,并使用Fail2Ban阻止脚本小子和他们在我的SSH端口上的无情敲击. (是的,我知道我可以移动到不同的端口号,但这是工作,谁想要这样做?:))
所以无论如何,这很有效,我抓住了很多人试图闯入并禁止它们,但后来我发现了这个有趣的信息,还有很多.
Oct 12 18:00:57 SERVERNAME sshd[23265]: SSH: Server;Ltype:
Version;Remote: 216.177.200.29-46386;Protocol: 2.0;Client: libssh-0.1
在5分钟的窗口中有超过1000个,都来自同一个远程IP地址.这是一次破解尝试吗?如果是这样,它是什么类型的?我试过看了这个,但无法得到关于这里发生了什么的明确答案.
因为没有特定的登录尝试,我的fail2ban没有标记IPTables来阻止它.我只是想确定我没有暴露于SSHD守护程序中的某个已知漏洞.
解决方法
有人试图破坏你的密码,或者他们试图破解你的密钥的可能性较小.在某些情况下,SSHD不会记录失败.在邮件列表上有一些讨论,你可以在不到2小时内通过远程暴力破解ssh密钥.
Justin Mason在他的博客上写了一篇很好的文章.