RE: lastb
As entradas "ssh: notty" / var / log / btmp indicam tentativas de login com falha a partir do número da porta SSH atribuído em "/ etc / ssh / sshd_config".
Por motivos de segurança, a porta SSH geralmente foi alterada para um número diferente de "22". Portanto, "ssh", nesse contexto, significa apenas o número da porta SSH atualmente atribuída (que não é 22).
Como um handshake de certificado SSH bem-sucedido DEVE sempre ser necessário para acessar a tela de login, quaisquer entradas de log "ssh: notty" provavelmente resultam de suas próprias tentativas de login com falha; geralmente a partir de um nome de usuário digitado incorretamente. Anote o endereço IP associado à entrada do log ... provavelmente é o seu!
"notty" significa "no tty".
Aprenda a segurança básica, como funciona, onde estão os logs e como interpretá-los, onde estão os vários arquivos de configuração e o que as diretivas significam e como configurar o IPTables antes de configurar e usar um servidor Linux. Restrinja os logins a um "endereço IP estático" e limite / restrinja as tentativas de login:
Diretivas de configuração SSH BÁSICAS que restringem logins e apenas permitem logins de usuários e endereços IP específicos:
LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
Não se esqueça de "reiniciar" o serviço SSH após a edição.
Regras BASIC IPTables que permitem apenas conexões SSH a partir de um endereço IP estático específico:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
Não se esqueça de "restaurar" as tabelas IP após as alterações.
Em uma LAN ou em um ambiente de nuvem "hospedado", não esqueça de proteger o lado "privado" (adaptador de rede). Seus inimigos muitas vezes já têm acesso à sua rede e entram pela porta dos fundos.
Se você estiver em um ambiente de nuvem como o RackSpace ou o DigitalOcean, e estragar as configurações e se trancar, sempre poderá acessar o console e corrigi-lo. SEMPRE FAÇA CÓPIAS DE ARQUIVOS DE CONFIGURAÇÃO ANTES DE EDITÁ-LO !!!