Eug*_*nov 1 security ubuntu ssh
我对服务器安全非常陌生,这是我在这里发表的第一篇文章。最近,我的服务器遇到了许多来自未知来源的 SSH 登录尝试。
几分钟前,我登录到服务器,决定tcp通过发出命令来检查套接字ss -t,并发现一个处于状态的套接字FIN-WAIT-1。我不知道该怎么想。有人连接成功吗?
State Recv-Q Send-Q Local Address:Port Peer Address:Port
FIN-WAIT-1 0 69 139.132.21.45:ssh 123.156.225.58:36092
命令还给last了我这些条目,但我今天没有以 root 身份登录。
root ttyS0 Tue Nov 2 17:10 still logged in
reboot system boot 4.15.0-161-gener Tue Nov 2 17:10 still running
我应该担心吗?
有人连接成功吗?
是的,但这实际上并没有什么意义;它只说TCP 连接已建立然后关闭。与远程用户能够做什么或不能做什么没有关系。
典型的例子:您使用 SSH 连接到远程主机,然后您提供了错误的凭据;服务器将关闭连接。服务器关闭的连接将(暂时)处于 FIN-WAIT-1 状态。但实际上没有人记录它,这只是一次失败的登录尝试。
我的服务器经历了多次来自未知来源的 SSH 登录尝试。
如果您在其中一个尝试失败后立即捕获它,则处于 FIN-WAIT-1 状态的套接字正是您在网络级别看到的情况。
说了以上所有内容后,您应该在服务器前面放置某种防火墙(或者至少将系统防火墙配置为仅允许来自已知、可信来源的登录);如果您让任何计算机在公共远程管理端口(SSH、RDP 等)上暴露于公共互联网,那么您只是自找麻烦。
| 归档时间: |
|
| 查看次数: |
1810 次 |
| 最近记录: |