前言

昨晚看到了酷安某大佬的NAS被黑,刚好看到帖子下有人展示了自己主机的登录记录,好家伙,那叫一个 惨不忍睹,考虑到自己用的一直是默认的22端口,于是就有了这篇文章。

一、如何查看自己主机的ssh登录记录

Ubuntu下的登录记录是保存在 /var/log/auth.log中的,并且需要root权限才能查看。

所以我们可以使用:

sudo grep "Failed password" /var/log/auth.log

来查看失败的登录记录

截图 2022-06-29 18-28-38

当然,如果你是Debian用户,使用

sudo egrep "Failed|Failure" /var/log/auth.log

还可以看到这样的更具体的记录
image

很显然,我的主机一直都处于不间断的被爆破中。

那有没有被爆破成功呢?

使用 last 命令,可以看到这些内容:

截图 2022-06-29 18-39-20

在这些信息里,你可以看到登录者的用户名、时间和IP这些,好在都是我自己的,所以问题不大。

远程用户执行了什么命令?

如果你不幸被爆破成功了,黑客成功进入了你的服务器。

这时候可以使用 history来查看被执行了什么东西

截图 2022-06-29 18-45-16

二、修改ssh登录端口

Ubuntu的ssh配置文件在/etc/ssh/sshd_config

使用一个你喜欢的文本编辑器编辑:

sudo nano /etc/ssh/sshd_config

截图 2022-06-29 18-53-48

Port 22 前面的 # 去掉,并将默认的22改为你需要的端口。

然后重启ssh服务生效

sudo /etc/init.d/ssh restart

最后记得在防火墙放行你自定义的端口

三、一些体会和总结

根据上面的日志可以看出,爆破时会选择root用户或者一些服务常用的用户名。

因此,为这些服务和用户设置一个足够安全的密码是十分必要的,或者直接使用密钥登陆,像root用户的远程登陆最好就不要开启。

再者,也请不要随意开放这些会容易被窥视的风险端口,即便你的密码够强能够保证安全,但这种骚扰性的爆破总归是比较烦人的,可以考虑更改端口,或者设置端口转发。

最后,希望各位提高安全意识,数据安全一定要重视。如果有可能,也请尽量勤备份。

Q.E.D.