Записи auth.log sshd

Я создал свою малину несколько недель назад. В настоящее время я просто использую его как SSH-сервер, пока не найду время, чтобы сделать с ним что-то более интересное.

Малина запускает сервер sshd и подключается к моему домашнему маршрутизатору. Мой маршрутизатор отправляет порт (не 22, что-то другое) в порт 22 на Малине. Я отключил аутентификацию пароля для SSH-сервера и настроил аутентификацию частного /открытого ключа. Кроме того, мой маршрутизатор обновляет мой (динамический) домашний IP-адрес до какой-то динамической службы DNS.

Итак, это моя настройка, и она работает.

Что меня беспокоит: я только что проверил файл /var/log/auth.log и заметил некоторые странные записи. Прежде всего, каждый час я получаю запись, подобную этой:

CRON[31837]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[31837]: pam_unix(cron:session): session closed for user root

Несмотря на то, что у меня нет запущенных cronjob (sudo crontab -e), это значит crontab -e для пользователя pi). Это нормально?

Затем я заметил некоторые другие записи с неизвестными (не моими) IP-адресами:

Jan  4 sshd[29395]: Connection closed by xx.xx.xx.xx [preauth]
Jan  5 sshd[30658]: Received disconnect from xx.xx.xx.xx: 11: disconnect [preauth]
Jan  7 sshd[31634]: Bad protocol version identification '\026\003\001' from xx.xx.xx.xx port xxxxx
Jan  7 sshd[31635]: Bad protocol version identification 'GET //a2billing HTTP/1.1' from xx.xx.xx.xx port xxxx

Должен ли я беспокоиться о том, что кто-то пытается получить доступ к моей малине? Или это вполне нормально для SSH-сервера, подключенного к Интернету? Есть ли какие-то вещи, которые я должен сделать для повышения безопасности?

4 голоса | спросил Alex 7 Jpm1000000pmThu, 07 Jan 2016 13:35:58 +030016 2016, 13:35:58

2 ответа


4

Думаю, вам не о чем волноваться.

Для CRON я предполагаю, что это фейк-hwclock запускается почасово. Вы можете проверить это с помощью:

ls /etc/cron.hourly/

Если fake-hwclock есть, и это должно быть, это причина.

Первые два других сообщения поступают на фазу предварительной авторизации. Это происходит, если в течение льготного времени входа в систему не было введено достоверная аутентификация.

Другие два сообщения связаны с неправильными заголовками протоколов. Это типичные результаты сканирования портов. Иногда они очень шумные, но нечего беспокоиться.

ответил Shy Robbiani 7 Jpm1000000pmThu, 07 Jan 2016 14:19:37 +030016 2016, 14:19:37
4

Даже если вы не установили какое-либо задание cron, могут быть некоторые «поддерживаемые» по умолчанию, например /etc/cron.daily/logrotate, который, безусловно, работает с правами root.

Проверить пути в /etc/cron.daily, ежечасно, ежемесячно или около того. Он также должен быть зарегистрирован где-то.

Второй - это просто HTTP-клиент, пытающийся подключиться к вашему SSH через пересылку. Возможно, какой-то случайный сканер портов. Если вы заблокировали аутентификацию пароля, беспокоиться не о чем.

ответил Jakuje 7 Jpm1000000pmThu, 07 Jan 2016 14:11:08 +030016 2016, 14:11:08

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132