Bri*_*nce 5 security ubuntu ssh
我正在运行来自 Digital Ocean 的基本 Ubuntu 服务器,我使用 SSH 密钥(存储在我的桌面上)来访问它。
我刚刚运行netstat -ap,结果如下:
Local Address Foreign Address State PID
XX.XXX.XX.192 183.214.141.105:53929 ESTABLISHED 25193/sshd: root [p
这不是我,我搜索了 IP,它在许多禁止列表中,并且来自中国。
我的问题:
1) 由于状态为“已建立”,这是否意味着他们可以通过 SSH 访问我的服务器?还是这种蛮力试图进入?
2) 我的服务器怎么会被入侵?我不知道蛮力可以对 SSH 密钥起作用吗?他们不需要访问我桌面上的密钥吗?
Tol*_*dus 13
1)建立仅表示连接完全打开,可以传输数据。这并不一定意味着已经传输了任何数据!它并不暗示第 7 层的任何内容,无论是否有人对您的系统进行了身份验证。您可以检查系统日志以了解是否有人已成功通过身份验证。(来源)
2)也许吧。您将需要检查您的日志并查看是否有人已成功通过身份验证。在 Ubuntu 上,可以在以下位置找到 ssh 日志/var/log/auth
https://unix.stackexchange.com/questions/127432/logging-ssh-access-attempts
不要忘记您可以暴力破解 ssh 密钥的密码。
附带说明一下,从公共密钥重建私钥目前在技术上是不可能的
https://security.stackexchange.com/questions/33238/brute-forcing-ssh-keys
我建议在ssh和Fail2ban 中使用一些两因素身份验证
Fail2ban 扫描日志文件(例如 /var/log/apache/error_log)并禁止显示恶意标志的 IP——密码失败太多