/var/log/auth.log 里面大量 Failed password，正常吗？。。。

grep "Failed password " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
2990 Failed
2208 222.186.50.190
654 122.225.36.12
303 220.177.198.24
299 115.239.248.90
269 67.205.124.56

这是排名前几的。就是个do上的小站，现在就挂了个ss在用
信息一般都是
Failed password for root from 144.76.83.113 port 53993 ssh2

是不是这些都是试探root密码？
你们的密码会有多复杂呢？
我就一个单词+3数字。。。

happywowwow

2014-10-28 18:58:11 +08:00

感谢各位。第一次弄了do的学生优惠开起来的ss。
为了安全应该还是有很多坑。。。今天用到winscp想到secure CRT putty等的都有后门，就去auth.log里看了看，结果发现了这些
不知道大家还有什么给新搞服务器的新人的忠告。。

还好没什么东西，准备删除服务器，重新建一个了。。。

hzqim

2014-10-28 19:04:19 +08:00

@happywowwow 远程管理软件要到软件发布页面用浏览器＂另存为＂下载．

zlbruce

2014-10-28 20:20:20 +08:00

我的 do 也是，一开始还配置 iptable 规则来丢掉这些 ip 的包，后来发现太多了，就直接禁用密码登录了

happywowwow

2014-10-28 20:24:15 +08:00

@zlbruce 想问下，那么禁用root登录是不是也可以？用户名别人也不知道的吧？

zlbruce

2014-10-28 20:43:47 +08:00

@happywowwow 是的，禁用 root 登录也行。换 ssh 端口也是个不错的方案

happywowwow

2014-10-28 21:17:19 +08:00

@zlbruce 那个ssh的端口试探也都是随机的，不仅仅是22
我现在是禁用了root，然后加了AllowUsers 选项
有时候还是会win下连接一下的，禁止密码登录太麻烦了
参考官方的init方法，感觉差不多了。
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-12-04

happywowwow

2014-10-28 21:56:46 +08:00

@TMBest 求个fail2ban的配置说明。。。东西好复杂。

pimin

2014-10-28 22:05:45 +08:00

曾经在do上有个3位ssh密码的ssh，真的被别人扫到了，然后拿去做攻击导致我账号给停用了
后来发了ticket才恢复，就再也不用密码登录了

zlbruce

2014-10-28 22:09:08 +08:00

@happywowwow 其实 win 下大部分 ssh 软件都是支持 ssl key 登录的，比如 putty，pshell 等

happywowwow

2014-10-28 22:49:47 +08:00

@zlbruce 就是putty，secureCRT
什么的可能有后门不敢用啊。。。

bitwing

2014-10-28 22:56:14 +08:00

官网下原版的，不要用简体中文版之类的就好

TMBest

2014-10-29 09:12:10 +08:00

@happywowwow 我回的那个链接里就有fail2ban的配置说明啊，很简单，改几个字段就好

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/142167

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.