Вопрос по SSH

[Agat]

График в панели управления показывает вот это:


команда last вот это:

Code: Select all

last
root     pts/0        xxx.xx.xx.192    Sat Feb 20 21:14   still logged in   
root     pts/0        xxx.xx.xx.192    Sat Feb 20 10:14 - 10:22  (00:07)    
reboot   system boot  3.13.0-66-generi Fri Feb 19 15:47 - 01:26 (4+09:38)

На графике я вижу пять соединений некоторое время назад. Как узнать, что это были за соединения?

[Alex Connor]

По всей видимости попытки подобрать пароль

[Agat]

По всей видимости попытки подобрать пароль

То есть, график показывает не количество успешных аутентификаций, а просто факт обращения по команде ssh user@ip?

[imperio]

Попытки авторизации под root, подбор пароля.
Подробнее можно увидеть в журнале подключений

Code: Select all

tail /var/log/secure*

[Agat]

Попытки авторизации под root, подбор пароля.
Подробнее можно увидеть в журнале подключений

Code: Select all

tail /var/log/secure*

Спасибо. По маске secure* у меня в /var/log/ ничего нет.

При просмотре auth.log часто попадаются вот такие, повторяющиеся куски, в которых нет моего IP.

Code: Select all

Feb 24 19:33:20  sshd[26804]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114  user=root
Feb 24 19:33:22  sshd[26804]: Failed password for root from 183.3.202.114 port 30942 ssh2
Feb 24 19:33:27  sshd[26804]: message repeated 2 times: [ Failed password for root from 183.3.202.114 port 30942 ssh2]
Feb 24 19:33:27  sshd[26804]: Received disconnect from 183.3.202.114: 11:  [preauth]
Feb 24 19:33:27  sshd[26804]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114  user=root
Feb 24 19:33:29  sshd[26883]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114  user=root
Feb 24 19:33:31  sshd[26883]: Failed password for root from 183.3.202.114 port 20558 ssh2
Feb 24 19:33:35  sshd[26883]: message repeated 2 times: [ Failed password for root from 183.3.202.114 port 20558 ssh2]
Feb 24 19:33:35  sshd[26883]: Received disconnect from 183.3.202.114: 11:  [preauth]
Feb 24 19:33:35  sshd[26883]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114  user=root
Feb 24 19:33:37  sshd[26885]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114  user=root
Feb 24 19:33:39  sshd[26885]: Failed password for root from 183.3.202.114 port 63355 ssh2
Feb 24 19:33:43  sshd[26885]: message repeated 2 times: [ Failed password for root from 183.3.202.114 port 63355 ssh2]
Feb 24 19:33:43  sshd[26885]: Received disconnect from 183.3.202.114: 11:  [preauth]
Feb 24 19:33:43  sshd[26885]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114  user=root
Feb 24 19:33:48  sshd[26887]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114  user=root
Feb 24 19:33:50  sshd[26887]: Failed password for root from 183.3.202.114 port 48746 ssh2

А в fail2ban.log

Code: Select all

2016-02-24 18:31:30,290 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
2016-02-24 18:41:30,781 fail2ban.actions: WARNING [ssh-iptables] Unban 183.3.202.114
2016-02-24 18:51:50,447 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
2016-02-24 19:01:51,145 fail2ban.actions: WARNING [ssh-iptables] Unban 183.3.202.114
2016-02-24 19:10:51,704 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
2016-02-24 19:14:09,929 fail2ban.actions: WARNING [ssh-iptables] Ban 104.41.60.151
2016-02-24 19:20:52,393 fail2ban.actions: WARNING [ssh-iptables] Unban 183.3.202.114
2016-02-24 19:24:10,628 fail2ban.actions: WARNING [ssh-iptables] Unban 104.41.60.151
2016-02-24 19:33:51,198 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
2016-02-24 19:43:51,867 fail2ban.actions: WARNING [ssh-iptables] Unban 183.3.202.114
2016-02-24 20:20:25,958 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114

Надо ли на это обращать внимание, предпринимать какие-то действия (банить ip или ещё что)? Или всё по плану?
Удачных заходов не с моего IP вроде не обнаружил. Пароль состоит из 28 случайно сгенерированных символов. То есть, метод перебора, на мой взгляд, не должен пройти.

[imperio]

Вероятность подбора пароля в данном случае не возможна.
К примеру

Code: Select all

Feb 24 19:33:39  sshd[26885]: Failed password for root from 183.3.202.114 port 63355 ssh2

означает что попытка подбора производилась с 183.3.202.114 и была не успешной.

Надо ли на это обращать внимание

Не надо. При превышении не правильных логинов от рута, fail2ban сам банит такие ip

[Mr.Erbutw]

Вероятность подбора пароля в данном случае не возможна.
К примеру

Code: Select all

Feb 24 19:33:39  sshd[26885]: Failed password for root from 183.3.202.114 port 63355 ssh2

означает что попытка подбора производилась с 183.3.202.114 и была не успешной.

Надо ли на это обращать внимание

Не надо. При превышении не правильных логинов от рута, fail2ban сам банит такие ip

Насчет fail2ban , не знаю ли зарегистрирована задача в bugs.vestacp.com с отображением забаненых (vestacp) или нет.

[imperio]

Вероятность подбора пароля в данном случае не возможна.
К примеру

Code: Select all

Feb 24 19:33:39  sshd[26885]: Failed password for root from 183.3.202.114 port 63355 ssh2

означает что попытка подбора производилась с 183.3.202.114 и была не успешной.

Надо ли на это обращать внимание

Не надо. При превышении не правильных логинов от рута, fail2ban сам банит такие ip

Насчет fail2ban , не знаю ли зарегистрирована задача в bugs.vestacp.com с отображением забаненых (vestacp) или нет.

Посмотри ОП
А что с отображением? Насколько я помню это пофиксили вс 15 версии.

[one]

Как вариант. что бы спать спокойно и что бы не засирались логи, смените стандартный порт у SSH, только в фаирволе не забудьте порт тоже поменять.

[Agat]

Как вариант. что бы спать спокойно и что бы не засирались логи, смените стандартный порт у SSH, только в фаирволе не забудьте порт тоже поменять.

Шарик, Ты балбес! (с) это я про себя :)
Я порт менял, а в фаирволе нет. Спасибо!