Server bliver udsat for angrib
-
- Indlæg: 8
- Tilmeldt: 2. jan 2015, 13:37
Server bliver udsat for angrib
Min server bliver desværre udsat for angrib via. ssh
Her er et lille udklip fra /var/log/auth.log:
Jeg har slået root login via ssh fra og tilføjet følgende til ufw:
sudo ufw limit ssh/tcp
Burde dette ikke forhindre samme ip i at prøve at forbinde gentagende gange?
Her er et lille udklip fra /var/log/auth.log:
Kode: Vælg alt
Jan 9 16:24:24 Ubuntu-1404-trusty-64-minimal sshd[2263]: Received disconnect from 103.41.124.14: 11: [preauth]
Jan 9 16:24:24 Ubuntu-1404-trusty-64-minimal sshd[2263]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.14 user=root
Jan 9 16:24:27 Ubuntu-1404-trusty-64-minimal sshd[2266]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.14 user=root
Jan 9 16:24:29 Ubuntu-1404-trusty-64-minimal sshd[2266]: Failed password for root from 103.41.124.14 port 44127 ssh2
Jan 9 16:24:34 Ubuntu-1404-trusty-64-minimal sshd[2266]: message repeated 2 times: [ Failed password for root from 103.41.124.14 port 44127 ssh2]
Jan 9 16:24:34 Ubuntu-1404-trusty-64-minimal sshd[2266]: Received disconnect from 103.41.124.14: 11: [preauth]
Jan 9 16:24:34 Ubuntu-1404-trusty-64-minimal sshd[2266]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.14 user=root
Jan 9 16:24:36 Ubuntu-1404-trusty-64-minimal sshd[2274]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.14 user=root
Jan 9 16:24:37 Ubuntu-1404-trusty-64-minimal sshd[2274]: Failed password for root from 103.41.124.14 port 35048 ssh2
Jeg har slået root login via ssh fra og tilføjet følgende til ufw:
sudo ufw limit ssh/tcp
Burde dette ikke forhindre samme ip i at prøve at forbinde gentagende gange?
-
- Indlæg: 293
- Tilmeldt: 12. maj 2014, 18:29
- Geografisk sted: Kolding
Re: Server bliver udsat for angrib
Installere pakken fail2ban og ændre din ssh port
-
- Indlæg: 8
- Tilmeldt: 2. jan 2015, 13:37
Re: Server bliver udsat for angrib
Kan fail2ban og ufw godt arbejde sammen uden yderligere konfigurering?
-
- Redaktør
- Indlæg: 4430
- Tilmeldt: 6. jan 2009, 22:01
- Geografisk sted: København
Re: Server bliver udsat for angrib
Det burde der ikke være noget problem i. Jeg kan ikke huske om standard settings i fail2ban er ok. Du kan jo se mere om hvordan du indstiller den i en tutorial som f.eks.: https://www.digitalocean.com/community/tutorials/how-to-install-and-use-fail2ban-on-ubuntu-14-04
Du skal jo i hvert fald ændre ting hvis du gerne vil have en mail når noget bliver skrevet i iptables, hvis de har brugt for mange login forsøg (hvilket er hvad fail2ban gør).
Til gengæld burde du jo ikke have brug for fail2ban hvis du slet ikke vil have adgang udefra. Så skal du bare opsætte din firewall til at blokere at på din ssh port (og måske andre).
Du skal jo i hvert fald ændre ting hvis du gerne vil have en mail når noget bliver skrevet i iptables, hvis de har brugt for mange login forsøg (hvilket er hvad fail2ban gør).
Til gengæld burde du jo ikke have brug for fail2ban hvis du slet ikke vil have adgang udefra. Så skal du bare opsætte din firewall til at blokere at på din ssh port (og måske andre).
-
- Indlæg: 8
- Tilmeldt: 2. jan 2015, 13:37
Re: Server bliver udsat for angrib
Takker jeg kigger på den.
Vil gerne have adgang udefra . Har bare slået adgang udefra for user root fra, da jeg ved det den man ofte prøve at få adgang til.
Vil gerne have adgang udefra . Har bare slået adgang udefra for user root fra, da jeg ved det den man ofte prøve at få adgang til.
-
- Indlæg: 8
- Tilmeldt: 2. jan 2015, 13:37
Re: Server bliver udsat for angrib
Ændrede ssh porten men, glemte selvfølgelig at åbne den i ufw.
-
- Redaktør
- Indlæg: 4430
- Tilmeldt: 6. jan 2009, 22:01
- Geografisk sted: København
Re: Server bliver udsat for angrib
Jeg ville klart opsætte fail2ban hvis du lader noget stå åbent. Man sover bare lidt bedre om natten når man kan se den blokerer alle de der brute-force angreb som uundgåeligt kommer.
-
- Admin
- Indlæg: 20860
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: Server bliver udsat for angrib
Du burde slet ikke tillade login som root overhovedet! Det er også standard i Ubuntu. Eventuel så configuer ssh så den kun tillader login med en ssh nøgle og ikke med adgangskode.
-
- Indlæg: 8
- Tilmeldt: 2. jan 2015, 13:37
Re: Server bliver udsat for angrib
Jeg har installeret fail2ban og ændret ssh porten.
Kan godt være det mig der blander tingene sammen med hensyn til root login? Det en lejet server. Det eneste jeg har fået er et root login. Har selvfølgelig oprettet andre brugere
Kan godt være det mig der blander tingene sammen med hensyn til root login? Det en lejet server. Det eneste jeg har fået er et root login. Har selvfølgelig oprettet andre brugere
-
- Admin
- Indlæg: 20860
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: Server bliver udsat for angrib
Ok, så er det måske ikke ubuntu... eller ikke en professionel opsat server.
-
- Indlæg: 293
- Tilmeldt: 12. maj 2014, 18:29
- Geografisk sted: Kolding
Re: Server bliver udsat for angrib
Hvis du kun har en root, så opret en ny bruger på maskinen
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: Server bliver udsat for angrib
Jeg vil kraftigt anbefale dig at bruge certifikater til login, og straks når de virker fjerne muligheden for at logge ind med kodeord. Jeg har læst noget om at bruge selv en svagt certifikat på 1024 bit svarer til ca et 670 tegn langt kodeord!
Jeg har min VPS ved Digital Ocean i Amsterdam, Holland (AMS3). Før du opsætter en droplet ved dem kan du oprette en SSH nøgle, hvilket betyder at den SSH nøgle vil bruges ved oprettelse af dropleten. Brugen af SSH nøglen vil automatisk disable password login.
Hvis du er interesseret kan jeg give dig en såkaldt referral på USD 10 som indsættes på din konto.
Jeg skal bruge enten en email adresse, eller du kan få et link. Skriv en PM (Privat besked) til mig, så får du den.
/Lars
Jeg har min VPS ved Digital Ocean i Amsterdam, Holland (AMS3). Før du opsætter en droplet ved dem kan du oprette en SSH nøgle, hvilket betyder at den SSH nøgle vil bruges ved oprettelse af dropleten. Brugen af SSH nøglen vil automatisk disable password login.
Hvis du er interesseret kan jeg give dig en såkaldt referral på USD 10 som indsættes på din konto.
Jeg skal bruge enten en email adresse, eller du kan få et link. Skriv en PM (Privat besked) til mig, så får du den.
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
Tilbage til "Server: Guides, installation og opsætning"
Hvem er online
Brugere der læser dette forum: [Bot] og 0 gæster