Записи auth.log sshd
Я создал свою малину несколько недель назад. В настоящее время я просто использую его как SSH-сервер, пока не найду время, чтобы сделать с ним что-то более интересное.
Малина запускает сервер sshd и подключается к моему домашнему маршрутизатору. Мой маршрутизатор отправляет порт (не 22, что-то другое) в порт 22 на Малине. Я отключил аутентификацию пароля для SSH-сервера и настроил аутентификацию частного /открытого ключа. Кроме того, мой маршрутизатор обновляет мой (динамический) домашний IP-адрес до какой-то динамической службы DNS.
Итак, это моя настройка, и она работает.
Что меня беспокоит: я только что проверил файл /var/log/auth.log и заметил некоторые странные записи. Прежде всего, каждый час я получаю запись, подобную этой:
CRON[31837]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[31837]: pam_unix(cron:session): session closed for user root
Несмотря на то, что у меня нет запущенных cronjob (sudo crontab -e), это значит crontab -e для пользователя pi). Это нормально?
Затем я заметил некоторые другие записи с неизвестными (не моими) IP-адресами:
Jan 4 sshd[29395]: Connection closed by xx.xx.xx.xx [preauth]
Jan 5 sshd[30658]: Received disconnect from xx.xx.xx.xx: 11: disconnect [preauth]
Jan 7 sshd[31634]: Bad protocol version identification '\026\003\001' from xx.xx.xx.xx port xxxxx
Jan 7 sshd[31635]: Bad protocol version identification 'GET //a2billing HTTP/1.1' from xx.xx.xx.xx port xxxx
Должен ли я беспокоиться о том, что кто-то пытается получить доступ к моей малине? Или это вполне нормально для SSH-сервера, подключенного к Интернету? Есть ли какие-то вещи, которые я должен сделать для повышения безопасности?
2 ответа
Думаю, вам не о чем волноваться.
Для CRON я предполагаю, что это фейк-hwclock запускается почасово. Вы можете проверить это с помощью:
ls /etc/cron.hourly/
Если fake-hwclock есть, и это должно быть, это причина.
Первые два других сообщения поступают на фазу предварительной авторизации. Это происходит, если в течение льготного времени входа в систему не было введено достоверная аутентификация.
Другие два сообщения связаны с неправильными заголовками протоколов. Это типичные результаты сканирования портов. Иногда они очень шумные, но нечего беспокоиться.
Даже если вы не установили какое-либо задание cron, могут быть некоторые «поддерживаемые» по умолчанию, например /etc/cron.daily/logrotate, который, безусловно, работает с правами root.
Проверить пути в /etc/cron.daily, ежечасно, ежемесячно или около того. Он также должен быть зарегистрирован где-то.
Второй - это просто HTTP-клиент, пытающийся подключиться к вашему SSH через пересылку. Возможно, какой-то случайный сканер портов. Если вы заблокировали аутентификацию пароля, беспокоиться не о чем.