Hej!
Kan inte se att något i de loggar du skickat tyder på att någon lyckats "bryta" sig in i din dator.
Däremot har dom försökt, vilket inte är ovanligt. Ser sånt där i mina loggar dagligen.
Som standard tror jag att alla "normala" användare kan logga in via SSH om porten öppnats i iptables. Skriver lite hur jag begränsar anslutningsmöjligheterna via SSH.
OBS: Gör inga anspråk på att vara expert.
Som andra redan skrivit, i sshd.conf:
PermitRootLogin no ;Tillåter inte root login via SSH
AllowUsers user1 [EMAIL PROTECTED] ;Vilka användare som får logga in via SSH
;och även från vilken hostRoot-login via SSH bör spärras eftersom alla vet att det kontot finns.
Tidigare använde jag tcp wrappers för att styra vilka
ip-adresser/hosts som får att ansluta via SSH: I filen hosts.allow
kan det t ex skrivas:
sshd : 130.130.130.130 \
140.140.140.
:ALLOWKan användas till att tillåta alla användare ansluta via SSH, men enbart från en utvald ip-adress (tcp wrappers har mycket fler möjligheter än detta, men som exempel).
Behöver en användare inte kunna logga in, t ex bara ansluta via FTP eller enbart kunna läsa/skicka mail från en windowsburk, tycker jag man ska man spärra inloggning för den användaren. T ex genom att sätta shell=/bin/false.
Själv använder jag virituella användare mot de servrar jag använder. Virituella användare gör att det endast behöver skapas "riktiga" användare för dom som har behov att kunna logga in. En annan sak är att det går att ha olika passord för samma användarnamn. T ex att använda samma användarnamn för både e-mail och inloggning, men ha olika passord.
ProFtp, Qpopper och Exim är lätta att konfigurera att använda virituella användare via egna passwd-filer. Själv har jag gjort virituella användare i MySql för Exim och Courier-IMAP.
Sen går det alltid att använda ip-tables. Själv la jag in raden:
iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -p TCP --dport 22 --syn -m limit --limit-burst 5 - ACCEPT
Görs det fler än 5 synk-försök för SSH på raken spärras port 22
en stund. Att port 22 spärras en liten stund har aldrig stört mig.
MVH Urban Bäcklund
timebandit wrote:
Mitt första intrång imorse då :/ Några bra sätt/knep/rekommendationer att göra burken säkrare? Kör Debian testing med 2.4.29 och endast fåtal portar öppna som, 22,25, 80,161, 443, 993... Mar 1 04:51:40 DZN sshd[23046]: Failed password for illegal user sonya from 198.104.144.59 port 42522 ssh2 Mar 1 04:51:41 DZN sshd[23050]: Illegal user tony from 198.104.144.59 Mar 1 04:51:41 DZN sshd[23050]: error: Could not get shadow information for NOUSER Mar 1 04:51:41 DZN sshd[23050]: Failed password for illegal user tony from 198.104.144.59 port 42561 ssh2 Mar 1 04:51:43 DZN sshd[23052]: Illegal user just from 198.104.144.59 Mar 1 04:51:43 DZN sshd[23052]: error: Could not get shadow information for NOUSER Mar 1 04:51:43 DZN sshd[23052]: Failed password for illegal user just from 198.104.144.59 port 42604 ssh2 Mar 1 04:51:44 DZN sshd[23054]: Illegal user justice from 198.104.144.59 Mar 1 04:51:44 DZN sshd[23054]: error: Could not get shadow information for NOUSER Mar 1 04:51:44 DZN sshd[23054]: Failed password for illegal user justice from 198.104.144.59 port 42646 ssh2 Mar 1 04:51:46 DZN sshd[23056]: Illegal user bank from 198.104.144.59 Mar 1 04:51:46 DZN sshd[23056]: error: Could not get shadow information for NOUSER Mar 1 04:51:46 DZN sshd[23056]: Failed password for illegal user bank from 198.104.144.59 port 42695 ssh2 Mar 1 04:51:47 DZN sshd[23060]: Illegal user vip from 198.104.144.59 Mar 1 04:51:47 DZN sshd[23060]: error: Could not get shadow information for NOUSER Mar 1 04:51:47 DZN sshd[23060]: Failed password for illegal user vip from 198.104.144.59 port 42735 ssh2
Mar 1 06:25:04 DZN su[26029]: + ??? root:nobody Mar 1 06:25:04 DZN su[26029]: (pam_unix) session opened for user nobody by (uid=0)
Även en massa Failed password for root som finns i loggarna :/ Dem lyckades tydligen ta sig in i morse men han dra ut nätverkskabeln innan dem gjorde nån skada... dem körde nått med find men hittar inget i loggarna där det visar vad dem gjorde :/
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
