GNU/Linux >> Tutoriels Linux >  >> Linux

TENTATIVE D'EFFRACTION POSSIBLE ! dans /var/log/secure — qu'est-ce que cela signifie ?

Solution 1 :

Malheureusement, cela est maintenant un phénomène très courant. Il s'agit d'une attaque automatisée sur SSH qui utilise des noms d'utilisateur "communs" pour essayer de s'introduire dans votre système. Le message signifie exactement ce qu'il dit, cela ne signifie pas que vous avez été piraté, juste que quelqu'un a essayé.

Solution 2 :

La partie "POSSIBLE BREAK-IN TENTATIVE" en particulier, est liée à la partie "reverse mapping verification getaddrinfo failed". Cela signifie que la personne qui se connectait n'avait pas correctement configuré le DNS direct et inverse. C'est assez courant, en particulier pour les connexions ISP, d'où vient probablement "l'attaque".

Sans rapport avec le message "POSSIBLE BREAK-IN TENTATIVE", la personne essaie en fait de s'introduire par effraction en utilisant des noms d'utilisateur et des mots de passe communs. N'utilisez pas de mots de passe simples pour SSH ; en fait, la meilleure idée est de désactiver complètement les mots de passe et d'utiliser uniquement les clés SSH.

Solution 3 :

"Que signifie exactement "TENTATIVE D'EFFRACTION POSSIBLE" ?"

Cela signifie que le propriétaire du netblock n'a pas mis à jour l'enregistrement PTR pour une adresse IP statique dans sa plage, et que ledit enregistrement PTR est obsolète, OU un FAI ne configure pas les enregistrements inverses appropriés pour ses clients IP dynamiques. C'est très courant, même pour les grands FAI.

Vous finissez par recevoir le message dans votre journal parce que quelqu'un provenant d'une adresse IP avec des enregistrements PTR incorrects (pour l'une des raisons ci-dessus) essaie d'utiliser des noms d'utilisateur communs pour essayer SSH sur votre serveur (peut-être une attaque par force brute, ou peut-être une erreur honnête ).

Pour désactiver ces alertes, vous avez deux choix :

1) Si vous avez une adresse IP statique , ajoutez votre reverse mapping à votre fichier /etc/hosts (voir plus d'infos ici) :

10.10.10.10 server.remotehost.com

2) Si vous avez une IP dynamique et que vous voulez vraiment faire disparaître ces alertes, commentez "GSSAPIAuthentication yes" dans votre fichier /etc/ssh/sshd_config.

Solution 4 :

Vous pouvez faciliter la lecture et la vérification de vos journaux en désactivant les recherches inversées dans sshd_config (Utiliser DNS non). Cela empêchera sshd de consigner les lignes de "bruit" contenant "POSSIBLE BREAK-IN ATTEMPT" vous laissant vous concentrer sur les lignes un peu plus intéressantes contenant "Invalid user USER from IPADDRESS".

Solution 5 :

Ce n'est pas nécessaire une connexion réussie, mais ce qu'il dit "possible" et "tentative".

Un mauvais garçon ou un script kiddie vous envoie du trafic spécialement conçu avec une fausse adresse IP d'origine.

Vous pouvez ajouter des limitations IP d'origine à vos clés SSH et essayer quelque chose comme fail2ban.


Linux

  1. Que signifie cette sortie de Xev ?

  2. Différence entre /var/log/messages, /var/log/syslog et /var/log/kern.log ?

  3. Que signifie cet avertissement ?

  4. Que signifie Plus de variables laissées dans cette vue MIB (Linux) ?

  5. Que signifie l'option sw dans /etc/fstab ?

Que signifie - dans cette commande Linux ?

Django static_root dans /var/www/... - aucune autorisation pour collectstatic

syntaxe du fichier de configuration logrotate - plusieurs entrées génériques possibles ?

Que signifie la lettre « u » dans /dev/urandom ?

Les sites Web doivent-ils vivre dans /var/ ou /usr/ selon l'utilisation recommandée ?

Les journaux système sont vides (/var/log/messages ; /var/log/secure ; etc.)