• Super User

    Strane cose nel log "messages"

    Premetto che non sapevo se postare in "server" o in "linux", alla fine ho deciso di postare qui.
    Da poco sono passata a vps linux per hostare il mio sito e siccome sto avendo vari problemi tengo sempre d'occhio tutti i log. Nel file /var/log/messages ogni tanto mi appaiono una serie lunghissima di:

    Aug 4 14:21:41 ppc7 dhclient: DHCPREQUEST on eth0 to 209.9.237.20 port 67
    Aug 4 14:21:41 ppc7 dhclient: send_packet: Operation not permittedE' una cosa normale o è un tentativo di intrusione? Di cosa si tratta?
    Uso APF firewall.

    Poi ci sono anche messaggi tipo:

    Aug 4 14:15:41 ppc7 sshd(pam_unix)[20720]: check pass; user unknown
    Aug 4 14:15:41 ppc7 sshd(pam_unix)[20720]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.63.44.147
    o
    Aug 4 01:28:26 ppc7 sshd(pam_unix)[14056]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=building-pearl.com
    Aug 4 01:28:28 ppc7 sshd(pam_unix)[14066]: check pass; user unknown

    Illuminatemi..


  • User

    Hai disabilitato l'accesso root via ssh? Se non lo hai fatto fallo subito.
    Hai dato una occhiata al log secure (/var/log/secure) che monitorizza gli accessi.
    ciao
    sergio


  • Moderatore

    sono attacchi brute force per tentare di indovinare la password SSH

    come ti è stato consigliato è meglio se disabiliti l'accesso root, in caso contrario se ti colleghi da un PC con IP fisso puoi settare il firewall affinchè permetta connessioni solo dal tuo IP....

    una mossa opportuna da fare è controllare che le password siano robuste, magari crearle usando un generatore pseudocasuale, poi ti conviene cambiare la porta SSH e soprattutto chiudere i terminali virtuali, quest'ultimo è un mio personale consiglio visto che ho un avuto un hacker che accedeva tramite tty, si trattava di un dipendente del mio hoster che aveva accesso fisico ai server


  • Super User

    Ho creato un altro utente. Ho provato ad usarlo per accedere poi con "su" all'utente root e funzionava.

    Allora ho disabilitato l'accesso da root e cambiato il protocollo in 2.

    Ora non mi fa più connettere (putty mi dice connection refused)..
    Cosa ho sbagliato?


  • User

    @Josie said:

    Ho creato un altro utente. Ho provato ad usarlo per accedere poi con "su" all'utente root e funzionava.

    si, è così che devi fare

    Allora ho disabilitato l'accesso da root e cambiato il protocollo in 2.
    scusa, cos'è il protocollo 2?

    Ora non mi fa più connettere (putty mi dice connection refused)..
    Cosa ho sbagliato?hai dovuto riavviare sshd, potresti avere inserito un errore nel file di configurazione e questo non si è più avviato.
    Se non hai più l'accesso via ssh devi fartelo sbloccare dall'assitenza.
    ciao
    sergio


  • Super User

    Ho riavviato il server, ora va. Non so cosa fosse successo..

    Per quanto riguarda il protocollo 2 su varie guide ho letto che è meglio cambiare
    #Protocol 2, 1
    in
    Protocol 2

    Dicono sia molto più sicuro, ma non chiedermi cosa sia.

    Per paolino:come si chiudono i terminali virtuali? ti ringrazio


  • Moderatore

    Per paolino:come si chiudono i terminali virtuali? ti ringrazio

    dipende dalla distribuzione in uso, comunque dovrebbe esserci un file di nome /etc/inittab

    dentro dovrebbero esserci varie righe del genere

    3:23:respawn:/sbin/getty 38400 tty3
    4:23:respawn:/sbin/getty 38400 tty4
    5:23:respawn:/sbin/getty 38400 tty5
    6:23:respawn:/sbin/getty 38400 tty6
    
    

    bisognerà o cancellarle oppurle approvi un # davanti ( commentarle insomma )


  • User

    Protocollo 2 si riferisce al protocollo di SSH, la versione 2 è più sicura rispetto alla 1 (come è facilmente intuibile).

    Per i terminali virtuali non credo sia proprio una cosa essenziale, dato che la maggior parte dei server dedicati sono di tipo rack e non un pc con attaccato un monitor 😉