[問題] linux不明人士登入

作者tang125 (山東蛇王唐)

看板Linux

標題[問題] linux不明人士登入

時間Sat Jul 25 19:37:03 2015

大家好，我還是個linux初心者很多問題以拜過鳥哥大神了但是這次的我找不到明確答案或者也可以說我還不太懂我在登root時發現有一千多次的登入失敗紀錄有顯示一個ip查了之後發現是來自中國>< 這讓我想到我有去中國論壇找過資料並留言可能就是在此暴露了我的ip (傻傻阿我…) 現在我只能盡可能的把留言刪除但是其他防備措施我該如何處理小魯妹我好緊張阿qq -- Sent from my Android -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.79.63.90 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1437824226.A.8D9.html

→ x000032001: 把root的密碼刪掉不要用root登入07/25 19:44

→ x000032001: 記得先把要用的帳號丟進sudoer07/25 19:45

→ a73126: root關掉，不斷嘗試的ip ban調07/25 19:52

→ CP64: 關 root 登入, 改 port, fail2ban07/25 19:58

fail2ban !!學到了>< 謝謝!!

推 WolfLord: BAN IP，然後勤換ROOT密碼(不要刪除密碼)07/25 20:00

推 Bencrie: sshd_config 關 root 直登 + 換 port 應該就很好用了07/25 20:05

老師是給我們一人一台機器所以沒有帳號的問題(?) 學長也說要登root才能畫圖QQ 我先ban ip 和換port好了嗚嗚謝謝大家><

推 bdvstg: 我浮動IP 3天會換一次IP 也是會被機器人try帳密阿XD07/25 21:07

→ bdvstg: 後來ip table用白名單臨時要開給其他人就改用fail2ban07/25 21:09

原來如此!!小魯妹我見識尚淺QQ 大大的方式感覺很不錯!

→ EdwardGJLee: 被 try 是很正常的。看了標題，我以為是被「登入」了07/25 21:16

→ EdwardGJLee: http://www.spamhaus.org/drop/drop.txt 這個先擋07/25 21:17

→ EdwardGJLee: 用這個 http://www.spamhaus.org/drop/drop.lasso07/25 21:21

→ EdwardGJLee: 那些資料常常在更新，要定時換新。弄個 chain 給他。07/25 21:22

→ EdwardGJLee: 其也游離的另外擋。07/25 21:24

謝謝大大m(_ _)m 也謝謝樓上的各位我fail2ban也設定好了現在比較煩惱的是我要如何刪中國論壇的帳號QQ (雖然那邊真的資訊豐富( ˊ_ゝ`)

→ cem236321: 刪不刪影響有限拉...網路上本來就一堆機器人在掃 07/26 00:23

XD 小魯愚拙讓各位見笑了QQ

→ EdwardGJLee: 我提供的是黑名單，要自行寫個 script 去處理較方便07/26 09:48

→ EdwardGJLee: 白名單的方式是全擋，只讓允許的 ip 進去。07/26 09:49

→ EdwardGJLee: 一般來掃的，不一定是固定ip，所以要小心誤殺。07/26 09:51

XD 白名單黑名單原來如此!! 大大見笑了 m(_ _)m

推 debian99: 裝denyhost 只開放固定ip能連線ssh比較簡單 07/26 11:42

→ EdwardGJLee: 如果也沒架站什麼的，用白名單的方式最佳、最安全。 07/26 14:21

我只有拿來寫程式和畫圖用，重開機後fail2ban打不開了QQ

→ Bellkna: ssh key會不會比較省事? 07/26 20:42

推 Bencrie: 用 key 也不錯 07/26 21:23

→ Bellkna: 自己是用關root登入+key+換port 07/26 21:54

→ EdwardGJLee: 二者層次不一樣吧？不擋的話，一堆人亂 try ssh XD 07/26 22:52

→ EdwardGJLee: 我的意思不是說不用 key. 不用密碼當然目前是主流。 07/26 22:54

→ danny8376: 個人都是換port+key 非常懶XD 07/26 23:05

→ Bellkna: 個人理解是沒key就直接擋掉了比黑白名單省事多了 07/26 23:12

→ EdwardGJLee: 那是說 ssh 連線，但掃各 port 的呢？ 07/26 23:28

→ EdwardGJLee: 我還是覺得這二者層次是不一樣的。 07/26 23:28

→ Bellkna: 安全性的方向不同 key的話還是可能會撞到ssh的漏洞問題 07/26 23:39

→ Bellkna: fail2ban之類用iptables是直接ban掉一直try的 07/26 23:40

→ Bellkna: 2種都用似乎比只用1種來的安全 07/26 23:41

突然覺得linux的世界真偉大m(_ _)m

→ danny8376: fail2ban其實擋不掉ssh漏洞的狀況啊 07/27 00:40

→ danny8376: ssh漏洞一定是一次就中了沒try的問題 07/27 00:41

→ danny8376: 要防ssh 0day的話還是白名單才比較有用 07/27 00:41

→ danny8376: 至於防掃port個人比較喜歡portsentry 07/27 00:45

→ danny8376: 這種陷阱式的簡單又不吃資源XD 07/27 00:46

其實小妹我這個暑假才開始接觸linux系統，還有很多都不太懂只有寫寫程式畫畫圖討論下來以我半懂的狀況，感覺用白名單好像比較方便(也適合我這個初心者QQ) 關root是確定不能行了，我們畫圖的程式一定要root才能使用其它的我會再試試看!謝謝大家!! ※ 編輯: tang125 (140.115.36.29), 07/27/2015 11:05:37

→ danny8376: 關root不會有問題啊 ssh設定禁止root 07/27 12:04

→ danny8376: 登入後使用非root使用者用sudo/su的方式拿root就好 07/27 12:04

!!好像漸漸明白了XD 很多關鍵字可以讓我姑狗學習! ※ 編輯: tang125 (140.115.36.118), 07/27/2015 12:22:39

推 goldie: 我也覺得ssh禁止root登入+1: PermitRootLogin no 07/27 22:24

→ goldie: 如果只會固定由其他某幾台登ssh進去的話， 07/27 22:25

→ goldie: 樓上的Bellkna跟Bencrie大大們提到的把password認證關閉 07/27 22:26

→ goldie: 只能用ssh key認證的方式也不錯，連fail2ban都免囉！ 07/27 22:27

謝謝G大~~ ※ 編輯: tang125 (140.115.35.164), 07/29/2015 12:30:21