系统日志问题- auth.log

Question

我是新来的。我在查看我的系统日志时注意到：

Jul 21 00:57:47 htpc sshd[13001]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:49 htpc sshd[13001]: Failed password for root from 188.120.248.13 port 56899 ssh2
Jul 21 00:57:49 htpc sshd[13001]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:52 htpc sshd[13003]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:54 htpc sshd[13003]: Failed password for root from 188.120.248.13 port 54709 ssh2
Jul 21 00:57:54 htpc sshd[13003]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:57 htpc sshd[13005]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:58 htpc sshd[13005]: Failed password for root from 188.120.248.13 port 59488 ssh2
Jul 21 00:57:58 htpc sshd[13005]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]

只会继续下去。有人知道这是什么吗？

提前谢谢。

Answer 1

机器人想猜你的密码。当您拥有公共IP并在开放端口上运行服务时，它们一直在尝试。

如果您不是专门的目标，并且具有相当强的密码或禁用密码身份验证，它们是无害的。它只是吃了你的处理器时间。

您可以通过将您的服务隐藏到不同的端口，将其隐藏在某个端口敲门服务(fwknop)后面，或者禁止使用fail2ban执行这些请求。

Answer 2

这看起来像是反复尝试通过ssh作为根用户登录，无论是真实的人还是机器人都不清楚，或者特别相关。反向检查IP显示它来自俄罗斯。

正是出于这个原因，能够将ssh作为根用户进入您的系统并不是一个好主意。当然，如果您已经拒绝了访问，或者没有激活根用户密码，他们无论如何也无法进入！互联网上有大量的僵尸网络，搜索打开的端口并试图破解密码。如果找到密码，并且root用户可以通过ssh登录，系统的全部控制权将移交给坏人！

将其扼杀在萌芽状态的一个好方法是通过ssh拒绝根访问，方法是在/etc/ssh/sshd_config找到的文件中添加一行。添加以下一行将是有用的：

DenyUsers root

和/或

PermitRootLogin no

使用以下方法使ssh服务重新加载您的更改：

sudo service ssh restart

有关强化ssh服务器的一个很好的链接可以找到这里。。