我正在从Digital Ocean运行一个基本的ubuntu服务器,我使用SSH密钥(存储在我的桌面上)来访问.
我刚刚运行netstat -ap,结果如下:
Local Address Foreign Address State PID XX.XXX.XX.192 183.214.141.105:53929 ESTABLISHED 25193/sshd: root [p
这不是我,我搜索了知识产权,它在一些被禁止的名单下,来自中国.
我的问题:
1)由于状态为’ESTABLISHED’,这是否意味着他们可以通过SSH访问我的服务器?或者这个蛮力试图进入?
2)我的服务器怎么可能遭到入侵?我不知道暴力可以在SSH密钥上工作吗?他们不必在桌面上访问我的密钥吗?
1)建立仅意味着连接完全打开并且数据可以传输.它并不一定意味着任何数据都已传输!它并不意味着第7层,无论是否有人已经对您的系统进行了身份验证.您可以检查系统日志以了解某人是否已成功通过身份验证.
(source)
原文链接:https://www.f2er.com/ubuntu/348391.html2)也许吧.您将需要检查日志并查看是否有人已成功通过身份验证.在Ubuntu上,可以在/ var / log / auth中找到ssh日志
https://unix.stackexchange.com/questions/127432/logging-ssh-access-attempts
不要忘记你可以强制使用ssh密钥的密码.
另一方面,从公共密钥重建私钥在技术上目前是不可能的
https://security.stackexchange.com/questions/33238/brute-forcing-ssh-keys
我建议使用一些two factor authentication with ssh和Fail2ban
Fail2ban扫描日志文件(例如/ var / log / apache / error_log)并禁止显示恶意标志的IP – 密码失败太多
