V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
happywowwow
V2EX  ›  问与答

/var/log/auth.log 里面大量 Failed password,正常吗?。。。

  •  
  •   happywowwow · 2014-10-28 18:32:40 +08:00 · 8312 次点击
    这是一个创建于 3703 天前的主题,其中的信息可能已经有所发展或是发生改变。
    grep "Failed password " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
    2990 Failed
    2208 222.186.50.190
    654 122.225.36.12
    303 220.177.198.24
    299 115.239.248.90
    269 67.205.124.56

    这是排名前几的。就是个do上的小站,现在就挂了个ss在用
    信息一般都是
    Failed password for root from 144.76.83.113 port 53993 ssh2

    是不是这些都是试探root密码?
    你们的密码会有多复杂呢?
    我就一个单词+3数字。。。
    24 条回复    2014-10-29 11:37:32 +08:00
    AWSAM
        1
    AWSAM  
       2014-10-28 18:39:52 +08:00   ❤️ 1
    不正常 建议改端口+禁止密码登录
    hpcyr002
        2
    hpcyr002  
       2014-10-28 18:45:51 +08:00   ❤️ 1
    fail2ban
    ooxxcc
        3
    ooxxcc  
       2014-10-28 18:50:44 +08:00   ❤️ 1
    fail2ban,证书登陆或者两步验证
    happywowwow
        4
    happywowwow  
    OP
       2014-10-28 18:58:11 +08:00
    感谢各位。第一次弄了do的学生优惠开起来的ss。
    为了安全应该还是有很多坑。。。今天用到winscp想到secure CRT putty等的都有后门,就去auth.log里看了看,结果发现了这些
    不知道大家还有什么给新搞服务器的新人的忠告。。

    还好没什么东西,准备删除服务器,重新建一个了。。。
    hzqim
        5
    hzqim  
       2014-10-28 19:04:19 +08:00   ❤️ 1
    @happywowwow 远程管理软件要到软件发布页面用浏览器"另存为"下载.
    sarices
        6
    sarices  
       2014-10-28 19:14:19 +08:00   ❤️ 1
    很正常,禁止密码登录即可
    zlbruce
        7
    zlbruce  
       2014-10-28 20:20:20 +08:00 via iPhone   ❤️ 1
    我的 do 也是,一开始还配置 iptable 规则来丢掉这些 ip 的包,后来发现太多了,就直接禁用密码登录了
    happywowwow
        8
    happywowwow  
    OP
       2014-10-28 20:24:15 +08:00
    @zlbruce 想问下,那么禁用root登录是不是也可以? 用户名别人也不知道的吧?
    TMBest
        9
    TMBest  
       2014-10-28 20:32:49 +08:00
    我的有11051次Failed....
    zlbruce
        10
    zlbruce  
       2014-10-28 20:43:47 +08:00 via iPhone   ❤️ 1
    @happywowwow 是的,禁用 root 登录也行。换 ssh 端口也是个不错的方案
    happywowwow
        11
    happywowwow  
    OP
       2014-10-28 21:17:19 +08:00
    @zlbruce 那个ssh的端口试探也都是随机的,不仅仅是22
    我现在是禁用了root,然后加了AllowUsers 选项
    有时候还是会win下连接一下的,禁止密码登录太麻烦了
    参考官方的init方法,感觉差不多了。
    https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-12-04
    happywowwow
        12
    happywowwow  
    OP
       2014-10-28 21:17:49 +08:00
    @TMBest 你藏了什么宝贝XD
    TMBest
        13
    TMBest  
       2014-10-28 21:20:09 +08:00   ❤️ 1
    belin520
        14
    belin520  
       2014-10-28 21:23:29 +08:00   ❤️ 1
    改端口、禁止root、禁止密码走公钥登录
    happywowwow
        15
    happywowwow  
    OP
       2014-10-28 21:56:46 +08:00   ❤️ 1
    @TMBest 求个fail2ban的配置说明。。。东西好复杂。
    pimin
        16
    pimin  
       2014-10-28 22:05:45 +08:00   ❤️ 1
    曾经在do上有个3位ssh密码的ssh,真的被别人扫到了,然后拿去做攻击导致我账号给停用了
    后来发了ticket才恢复,就再也不用密码登录了
    zlbruce
        17
    zlbruce  
       2014-10-28 22:09:08 +08:00 via iPhone   ❤️ 1
    @happywowwow 其实 win 下大部分 ssh 软件都是支持 ssl key 登录的,比如 putty,pshell 等
    happywowwow
        18
    happywowwow  
    OP
       2014-10-28 22:49:47 +08:00
    @zlbruce 就是putty,secureCRT
    什么的可能有后门不敢用啊。。。
    bitwing
        19
    bitwing  
       2014-10-28 22:56:14 +08:00   ❤️ 1
    官网下原版的,不要用简体中文版之类的就好
    TMBest
        20
    TMBest  
       2014-10-29 09:12:10 +08:00   ❤️ 1
    @happywowwow 我回的那个链接里就有fail2ban的配置说明啊,很简单,改几个字段就好
    happywowwow
        21
    happywowwow  
    OP
       2014-10-29 09:56:49 +08:00
    @TMBest 我直接去github下的源码自己编译的,但是好像/etc/fail2ban里的文件都和一些说明不太一样,/etc/init.d/也没程序。
    后面删了,用apt-get装了,就都可以看了。。。
    msg7086
        22
    msg7086  
       2014-10-29 10:06:11 +08:00 via iPhone   ❤️ 1
    @happywowwow 养成系统包的好习惯
    happywowwow
        23
    happywowwow  
    OP
       2014-10-29 10:19:17 +08:00
    @msg7086 这个系统包意思就是 apt-get安装这种么?
    有源码的,我一般会留着可以有空去看看,尤其python写的,正好也想多学点
    msg7086
        24
    msg7086  
       2014-10-29 11:37:32 +08:00 via iPhone
    @happywowwow 是。我一直推荐少自己编译,尽可能用系统包来安装软件。就算要打补丁也在官方脚本上打然后再debuild打deb包。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4172 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:30 · PVG 13:30 · LAX 21:30 · JFK 00:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.