sshトンネルへのアクセス

  • 投稿日:
  • by 管理人
  • カテゴリ:

ssh(22/tcp)を開放して、sshdを開放し、port転送にて自宅にアクセスする仕組みを入れてる。ところが、中華大陸からのログイン試行が止まらない。以下は直近のログ。

Mar 5 23:53:29 pi sshd[19827]: Disconnected from 222.186.31.135 port 15594 [preauth]
Mar 5 23:54:24 pi sshd[19829]: Invalid user horie from 175.24.109.20 port 43840
Mar 5 23:54:24 pi sshd[19829]: Failed unknown for invalid user horie from 175.24.109.20 port 43840 ssh2
Mar 5 23:54:24 pi sshd[19829]: user NOUSER login class [preauth]
Mar 5 23:54:25 pi sshd[19829]: Received disconnect from 175.24.109.20 port 43840:11: Normal Shutdown [preauth]
Mar 5 23:54:25 pi sshd[19829]: Disconnected from invalid user horie 175.24.109.20 port 43840 [preauth]
Mar 5 23:55:22 pi sshd[19845]: Invalid user horie.homeunix123 from 206.189.137.113 port 60372
Mar 5 23:55:22 pi sshd[19845]: Failed unknown for invalid user horie.homeunix123 from 206.189.137.113 port 60372 ssh2
Mar 5 23:55:22 pi sshd[19845]: user NOUSER login class [preauth]
Mar 5 23:55:22 pi sshd[19845]: Received disconnect from 206.189.137.113 port 60372:11: Normal Shutdown [preauth]
Mar 5 23:55:22 pi sshd[19845]: Disconnected from invalid user horie.homeunix123 206.189.137.113 port 60372 [preauth]
Mar 5 23:56:03 pi sshd[19853]: user root login class [preauth]
Mar 5 23:56:03 pi sshd[19853]: Received disconnect from 137.74.195.204 port 46440:11: Normal Shutdown [preauth]
Mar 5 23:56:03 pi sshd[19853]: Disconnected from authenticating user root 137.74.195.204 port 46440 [preauth]
Mar 5 23:56:39 pi sshd[19859]: Received disconnect from 222.186.52.139 port 31484:11: [preauth]
Mar 5 23:56:39 pi sshd[19859]: Disconnected from 222.186.52.139 port 31484 [preauth]
Mar 5 23:59:46 pi sshd[19862]: Received disconnect from 222.186.30.209 port 60515:11: [preauth]
Mar 5 23:59:46 pi sshd[19862]: Disconnected from 222.186.30.209 port 60515 [preauth]
Mar 5 23:59:56 pi sshd[19864]: Invalid user ftpuser from 175.24.109.20 port 41928
Mar 5 23:59:56 pi sshd[19864]: Failed unknown for invalid user ftpuser from 175.24.109.20 port 41928 ssh2
Mar 5 23:59:56 pi sshd[19864]: user NOUSER login class [preauth]
Mar 5 23:59:56 pi sshd[19864]: Received disconnect from 175.24.109.20 port 41928:11: Normal Shutdown [preauth]
Mar 5 23:59:56 pi sshd[19864]: Disconnected from invalid user ftpuser 175.24.109.20 port 41928 [preauth]
Waiting for data... (interrupt to abort)

いい加減にしてほしいなぁ。

ログを見ていての教訓としては、

  1. sshd機は独立して運用する。
  2. user名においてpiとかadminは/etc/passwdから排除する。
  3. rootログインには制限を掛ける。
  4. 正引きドメイン名から類推している模様、姓も避ける。
  5. sshd標準のport:22を別のportに移す。(1025~65535)
  6. /etc/ssh/sshd_configを工夫する。AllowUserとか設定。

破られているところも多数あるのだろうなぁ。

※この記事を投稿後、fail2banという素敵なツールがあるのを知り、対策してます。VPSはもちろん、ポート解放時の家鯖でも必須かと思います。

導入 改善

参考にされてください。(追記:2022/02/17)