Security Log da sshd

Guido Falsi mad a madpilot.net
Lun 14 Gen 2008 16:06:55 CET


On Mon, Jan 14, 2008 at 02:10:36PM +0100, solimo wrote:
> Salve,
> 
> ricevo quotidianamente tentativi di intrusione SSH come oramai i log mi
> hanno abituato, es.
> 
> ... ... ...
> Jan 12 04:39:02 pino sshd[87811]: Invalid user admin from 202.114.35.100
> Jan 12 04:39:10 pino sshd[87813]: Invalid user test from 202.114.35.100
> Jan 12 04:39:16 pino sshd[87815]: Invalid user guest from 202.114.35.100
> ... ... ....
> 
> Ma recentemente il security log riporta anche dei messaggi diversi:
> 
> ... ... ...
> Jan 12 06:14:11 pino sshd[88070]: Invalid user oracle from 134.76.78.125
> Jan 12 06:14:11 pino sshd[88070]: error: PAM: authentication error for
> illegal user oracle from pcr102ae.uni-igdl.gwdg.de
> Jan 12 06:14:11 pino sshd[88070]: Failed keyboard-interactive/pam for
> invalid user oracle from 134.76.78.125 port 6631 ssh2
> ... ... ...
> 
> Mi chiedevo cosa significasse questo logging diverso dal solito.

Sono vari tentativi di fregare il demone ssh e ottenere l'accesso.

Vengono provati i vari metodi di autenticazione supportati da ssh.

Personalmente mi sono trovato molto bene con il port security/denyhosts:

http://www.freshports.org/security/denyhosts/

Specie abilitando la funzionalita' di condivisione degli IP bloccati.

-- 
Guido Falsi <mad a madpilot.net>


Maggiori informazioni sulla lista aiuto