Понимание подлинного журнала
Я нашел довольно изящное сообщение здесь. Это содержит сценарий для вызова kexec вручную. Перерегистрация сценария здесь:
UNAMER=`uname -r` # this checks the version of the kernel
#just to save typing
#This just puts all of the parameters for loading in one place
KPARAMS="-l " # tells kexec to load the kernel
# --append tells the kernel all of its parameters
# cat /proc/cmdline gets the current kernel's command line
KPARAMS=$KPARAMS"--append=\"`cat /proc/cmdline`\" "
# this tells the kernel what initrd image to use
KPARAMS=$KPARAMS"--initrd=/boot/initrd.img-$UNAMER "
# this tells the kexec what kernel to load
KPARAMS=$KPARAMS"/boot/vmlinuz-$UNAMER"
# Message should end with a newline since kFreeBSD may
# print more stuff (see #323749)
log_action_msg "Will now restart"
if [ -x `locate kexec | grep sbin` ]; then # check for the kexec executable
kexec $KPARAMS # load the kernel with the correct parameters
sync # sync all of the disks so as not to lose data
umount -a # make sure all disks are unmounted
kexec -e # reboot the kernel
fi
#This next line should never happen.
reboot -d -f -i
Как уже упомянуто, первый тип не прибывает ни из какого SSH связанный материал, журнал операций Вашего крона deamon, и это не вредно, но обычно. Второй мог бы быть попытками входа в систему от хакера, и они должны сопровождаться. denyhosts мог бы помочь Вам, но отключение возможности для корневых логинов является также очень хорошей идеей (в дополнение к denyhosts, не вместо!)
Сообщения от КРОНА записывают нормальное действие. Это запланированные задачи (вероятно, выполняемый каждый час или ежедневно), которые выполняются корнем.
Сообщения от SSH указывают, что кто-то пытался войти в систему как корень. Существуют боты, которые пробуют случайные адреса и пытаются войти в систему со слабыми паролями или использовать дыры в системе безопасности. Большинство людей может проигнорировать эти попытки, все, в чем Вы нуждаетесь, должен наблюдать простую гигиену:
- Любой отключает аутентификацию по паролю в целом в
/etc/sshd_config(возможно/etc/ssh/sshd_configили некоторое подобное местоположение в зависимости от Вашего распределения) путем установкиPasswordAuthentication No; или удостоверьтесь, что у каждого пользователя в Вашей системе есть сильный пароль (не слово словаря или простая вариация на одну). - Удостоверьтесь, что Ваш ssh сервер актуален (никакие известные дыры в системе безопасности).
Можно реализовать более строгие меры, если попытки используют значительную часть пропускной способности или ЦП или регистрируют пространство, но остерегаются того ограничения, SSH мог заблокировать Вас однажды. Изменение порта сделает Вас невидимыми для большинства ботов (Вы больше не среди самых низких фруктов зависания), но затем можно не мочь войти в систему через некоторые брандмауэры (если Вы действительно хотите изменить порт, и Вы не выполняете сервер HTTPS, 443 хорошо, потому что большинство брандмауэров позволяет HTTPS и не может сказать различие с SSH). Denyhosts подавит количество попыток. Стук порта является еще одним методом, но это не очень полезно: можно только войти в систему от машины, которой Вы управляете, который не находится позади строгого брандмауэра, и преимущество является довольно небольшим.
Можно использовать метод, названный "стук порта".
Google "iptables стук порта".
К внешнему миру это будет похоже, поскольку у Вас нет ssh выполнения сервера.
-
1Можно ли описать основы техники немного больше? Полезно дать термин, но затем говорящие люди к Google не то, о чем мы - все.Спасибо! – mattdm 26.12.2011, 18:32
-
2Это все уже описано в Интернете. Я не думаю, чтобы сделать, copypast является хорошей идеей. Можно читать больше об этом, например, здесь wiki.archlinux.org/index.php/Port_Knocking – int 26.12.2011, 20:12
-
3, который я согласовываю, копируя и вставляя, не увеличивает стоимость. Но хорошая сводка делает. – mattdm 26.12.2011, 20:35