sshにブルートフォースを確認

#su - 
 最後の正しいログインの後に 59 回の失敗ログインの試行があります (ブルートフォースの兆候)



# netstat -anp  (接続している、試みているアクセス ***は非表示IP部分)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 ***.147.238.***:22      218.92.0.133:43722      ESTABLISHED 28568/sshd: root [p 
                                        (これが自分じゃない)
tcp        0      0 127.0.0.1:36996         127.0.0.1:44210         ESTABLISHED 31121/node          
tcp        0      0 ***.147.238.***:22      ***.158.230***:49543     ESTABLISHED 27075/sshd: root@pt 

# kill 28561 (不正なプロセスPIDを強制終了)
-bash: kill: (28561) - そのようなプロセスはありません
	この瞬間にはない。


# who (現在ログインしているユーザー)
root     pts/1        2019-03-31 04:18 (kd***230009.ppp-bb.dion.ne.jp)
	自分しかいない

# egrep "Failed|Failure" /var/log/secure  (sshのログ パスワードで弾かれている)
Mar 31 03:50:04 h***-147-238-*** sshd[23230]: Failed password for root from 218.92.0.133 port 17039 ssh2
Mar 31 03:50:07 h***-147-238-*** sshd[23230]: Failed password for root from 218.92.0.133 port 17039 ssh2
Mar 31 03:50:10 h***-147-238-*** sshd[23230]: Failed password for root from 218.92.0.133 port 17039 ssh2
Mar 31 03:50:12 h***-147-238-*** sshd[23230]: Failed password for root from 218.92.0.133 port 17039 ssh2
Mar 31 03:50:15 h***-147-238-*** sshd[23230]: Failed password for root from 218.92.0.133 port 17039 ssh2
Mar 31 03:50:18 h***-147-238-*** sshd[23230]: Failed password for root from 218.92.0.133 port 17039 ssh2
Mar 31 03:50:22 h***-147-238-*** sshd[23326]: Failed password for root from 218.92.0.133 port 41200 ssh2
Mar 31 03:50:24 h***-147-238-*** sshd[23326]: Failed password for root from 218.92.0.133 port 41200 ssh2
Mar 31 03:50:27 h***-147-238-*** sshd[23326]: Failed password for root from 218.92.0.133 port 41200 ssh2
Mar 31 03:50:30 h***-147-238-*** sshd[23326]: Failed password for root from 218.92.0.133 port 41200 ssh2
Mar 31 03:50:32 h***-147-238-*** sshd[23326]: Failed password for root from 218.92.0.133 port 41200 ssh2
Mar 31 03:50:34 h***-147-238-*** sshd[23326]: Failed password for root from 218.92.0.133 port 41200 ssh2
Mar 31 03:50:39 h***-147-238-*** sshd[23333]: Failed password for root from 218.92.0.133 port 61584 ssh2
Mar 31 03:50:41 h***-147-238-*** sshd[23333]: Failed password for root from 218.92.0.133 port 61584 ssh2
Mar 31 03:50:44 h***-147-238-*** sshd[23333]: Failed password for root from 218.92.0.133 port 61584 ssh2
Mar 31 03:50:46 h***-147-238-*** sshd[23333]: Failed password for root from 218.92.0.133 port 61584 ssh2
Mar 31 03:50:48 h***-147-238-*** sshd[23333]: Failed password for root from 218.92.0.133 port 61584 ssh2
Mar 31 03:50:51 h***-147-238-*** sshd[23333]: Failed password for root from 218.92.0.133 port 61584 ssh2
Mar 31 03:50:56 h***-147-238-*** sshd[23338]: Failed password for root from 218.92.0.133 port 18658 ssh2
Mar 31 03:50:58 h***-147-238-*** sshd[23338]: Failed password for root from 218.92.0.133 port 18658 ssh2
Mar 31 03:51:00 h***-147-238-*** sshd[23338]: Failed password for root from 218.92.0.133 port 18658 ssh2
Mar 31 03:51:03 h***-147-238-*** sshd[23338]: Failed password for root from 218.92.0.133 port 18658 ssh2
Mar 31 03:51:06 h***-147-238-*** sshd[23338]: Failed password for root from 218.92.0.133 port 18658 ssh2
Mar 31 03:51:08 h***-147-238-*** sshd[23338]: Failed password for root from 218.92.0.133 port 18658 ssh2
Mar 31 03:51:12 h***-147-238-*** sshd[23342]: Failed password for root from 218.92.0.133 port 40554 ssh2
Mar 31 03:51:15 h***-147-238-*** sshd[23342]: Failed password for root from 218.92.0.133 port 40554 ssh2
Mar 31 03:51:18 h***-147-238-*** sshd[23342]: Failed password for root from 218.92.0.133 port 40554 ssh2
Mar 31 03:51:20 h***-147-238-*** sshd[23342]: Failed password for root from 218.92.0.133 port 40554 ssh2
Mar 31 03:51:23 h***-147-238-*** sshd[23342]: Failed password for root from 218.92.0.133 port 40554 ssh2
Mar 31 03:51:25 h***-147-238-*** sshd[23349]: Failed password for invalid user guest from ***.146.209.68 port 42988 ssh2

対策1  rootログインの禁止
 vim /etc/ssh/sshd_config
	PermitRootLogin yes →PermitRootLogin no に変える

保存したらsshd再起動

$ sudo systemctl restart sshd


対策2 これをインストール
# yum --enablerepo=epel install fail2ban 

拒否リストに入った
 `- Banned IP list:	218.92.0.133 183.146.209.68

アタックは1/10に激減したが 160/dayはある
Apr  1 20:25:12 h***-147-238-*** sshd[5736]: Failed password for invalid user admin from 219.149.225.154 port 54177 ssh2
Apr  1 20:25:36 h***-147-238-*** sshd[5744]: Failed password for invalid user zimbra from 201.17.130.197 port 45573 ssh2
Apr  1 20:26:08 h***-147-238-*** sshd[5757]: Failed password for invalid user qun from 118.24.221.190 port 21474 ssh2
Apr  1 20:27:53 h***-147-238-*** sshd[5794]: Failed password for invalid user system from 122.224.203.228 port 47930 ssh2
Apr  1 20:27:54 h***-147-238-*** sshd[5796]: Failed password for invalid user od from 118.89.46.169 port 34138 ssh2
こんどはパスワードスプレー

鍵認証に変える

1. 鍵ペアはローカルマシンで作る
2.公開鍵をサーバーへコピペで保存する

macで鍵を作る
ターミナルで (winならPowerShell )

$ cd Users/ginzo/.ssh  ←パーミッションは 700にする
$ ssh-keygen
	Generating public/private rsa key pair.
Enter file in which to save the key (/Users/ginzo/.ssh/id_rsa): hplocal 鍵の名前を打つ
Enter passphrase (empty for no passphrase): 		そのままEnter(パスフレーズはなし)
Enter same passphrase again: 				もう一回Enter
Your identification has been saved in hplocal.	←秘密キー	
Your public key has been saved in hplocal.pub.	←公開鍵

サーバーにログイン
ログインユーザーの/home/ginzo/.ssh/ にauthorized_keysというファイルを作る

 cd ~/.ssh
 $ touch authorized_keys
 $ vi authorized_keys
	mac で作った公開鍵の中身をこのファイルの末尾行にコピペ
 $ chmod 600 authorized_keys
	exit

macからログイン (ポートも変えているので-pオプション必要)

 $ ssh -p 2**** -i ~/.ssh/hplocal ginzo@192.168.0.**

パスワード認証の禁止

 vi /etc/ssh/sshd_config

CentOS 7 の sshd の設定は /etc/ssh/sshd_config ファイルに記述されています。

  PasswordAuthentication no  ←パスワード認証の拒否
  PermitEmptyPasswords no	←パスワードなしユーザーの拒否

systemctl restart sshd ssh再起動

アタックは0になった