Атаки? Нужны ли дополнительные меры?

[vladimir_ar]

Собственно, сабж.
Под спойлерами куски логов авторизации.

Спойлер

Код Выделить Развернуть


Oct  7 06:23:27 GNU-HOME sshd[30175]: Address 66.240.245.136 maps to srv2mail.creativereports.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct  7 06:23:27 GNU-HOME sshd[30175]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.240.245.136  user=bin
Oct  7 06:23:28 GNU-HOME sshd[30175]: Failed password for bin from 66.240.245.136 port 63330 ssh2
Oct  7 06:23:29 GNU-HOME sshd[30175]: Received disconnect from 66.240.245.136: 11: Bye Bye [preauth]


Спойлер

Код Выделить Развернуть


Oct  7 23:27:21 GNU-HOME sshd[27513]: Invalid user test from 211.154.201.42
Oct  7 23:27:21 GNU-HOME sshd[27513]: input_userauth_request: invalid user test [preauth]
Oct  7 23:27:21 GNU-HOME sshd[27513]: pam_unix(sshd:auth): check pass; user unknown
Oct  7 23:27:21 GNU-HOME sshd[27513]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.154.201.42
Oct  7 23:27:23 GNU-HOME sshd[27513]: Failed password for invalid user test from 211.154.201.42 port 60344 ssh2
Oct  7 23:27:24 GNU-HOME sshd[27513]: Received disconnect from 211.154.201.42: 11: Bye Bye [preauth]


Спойлер

Код Выделить Развернуть


Sep 30 12:29:26 GNU-HOME sshd[7962]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.6.145.5  user=root
Sep 30 12:29:29 GNU-HOME sshd[7962]: Failed password for root from 218.6.145.5 port 39545 ssh2
Sep 30 12:29:29 GNU-HOME sshd[7962]: Connection closed by 218.6.145.5 [preauth]


Спойлер

Код Выделить Развернуть


Sep 30 17:53:00 GNU-HOME sshd[5064]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.188.3.56  user=root
Sep 30 17:53:02 GNU-HOME sshd[5064]: Failed password for root from 119.188.3.56 port 53511 ssh2
Sep 30 17:53:03 GNU-HOME sshd[5064]: Received disconnect from 119.188.3.56: 11: Bye Bye [preauth]


SSH не пользуюсь (пока) и не настраивал. Это чем-то грозит (что он не настроен)? Вообще какие-то меры принимать следует в такой ситуации?

[gardarea51]

Ну он же вроде таймаут выставляет. Запретите вход от root, разрешите только от определенного пользователя. Там может быть есть возможность указать количество попыток и таймаут (не помню уже, но наверное должно быть). Измените умолчальный порт на к примеру 222. И если не используете сервис - отключите его пока, зачем ему слушать сеть.

[vladimir_ar]

Пока да - ssh выгрузил. Но собираюсь его поднять со временем, чтобы на домашний ящик можно было заходить. Интересовало, что при не настроенном ssh (по умолчанию установлен и демон запускается) это чем-то грозит (в ssh, по идее, никаких настроек и он никого не должен пустить)?

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.

[Angel_ok]

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.

Ничего себе.
Это домашний компьютер или сервер какой?

[Malaheenee]

vladimir_ar, настраивать ssh сразу же (или вовсе его не устанавливать за ненадобностью) - очень хорошая привычка. Сразу прописываете пользователя, которому "туда тоже можно", порт, запрещаете логин от рута, ограничиваете число и время попыток...

[vladimir_ar]

Angel_ok, просто домашний комп.
Malaheenee, теперь так и сделаю (и дальше буду делать). Просто до этого как-то не задумывался. Пока убрал запуск ssh, как будет время - настрою.

[corner]

Чего переживать?
1. Исходя из логов, ни одного успешного подключения. Это просто очередные нападки китайских ботов.
Сканирование на имена root, mail и т.д. Традиционный в сети отсев "дураков". Ну как в лесу 
2. По умолчанию доступ root в Debian ssh и так запрещен.
3. Замена порта сегодня уже, в принципе, ничего не дает. Nmap раскусывает это дело "на раз".
4. Обычно, при грамотном использовании ssh, применяется ограничения по пользователям (IP). Придумайте для ssh "мудреного" пользователя. Ну настроить ssh получше.
5. Дополнительно защита обеспечивается несложными правилами iptables, направленными на ограничение соединений ssh.
В принципе все.
А то, что боты пытались зайти - так не зашли же?

[ihammers]

Интересовало, что при не настроенном ssh (по умолчанию установлен и демон запускается) это чем-то грозит (в ssh, по идее, никаких настроек и он никого не должен пустить)?

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.

В принципе ничего не должно случиться, даже с базовыми настройками.  Ну если вы конечно не используете простой пароль аля qwerty или какое-нибудь слово.  А так для большего успокоения можно поставить fail2ban и банить мин на 15 после 3-х неудачных попыток входа с одного ip.

[vladimir_ar]

corner, нет, не зашли. Но все же не лишне, раз уж обратил внимание, разобраться и принять меры. И спокойнее, и для себя с пользой.

[corner]

Код Выделить Развернуть

iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SH_"
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
Даже такое простенькое правило iptables, как правило, напрочь отбивает охотников вломиться. Если первая попытка прошла не удачно, то вторая попытка будёт через 60 секунд, а если и вторая провалилась - не обессудьте...

[lisss]

нестандартный порт и нестандартный пользователь (как написали выше, ни root, ни mail, ни совпадающий со службами) дают 100% защиту от "случайного" взлома.
от направленного взлома поможет файервол и Port Knocking (все вопросы к гуглу).

[gardarea51]

Можно также использовть файл ключей заместо пароля..

[Washington Irving]

TARPIT вам в помощь.