ошибки обмена баннера sshd

Содержание

Вопрос или проблема
Ответ или решение
Ошибки обмена баннера sshd: причины и решения
Причины возникновения ошибок
Решения для уменьшения атак
Заключение

Вопрос или проблема

Начиная с вчерашнего дня, я начал видеть тысячи сообщений подобного рода в auth.log

sshd[3635916]: обмен баннерами: Подключение от 202.142.184.68 порт 24571: недопустимый формат

Почти 17 000 случаев с тем же IP-адресом, что указан выше, и около 500 случаев с различными другими IP-адресами. Порты постоянно меняются, и мне интересно, является ли это попыткой brute force. У меня включен ufw, в который входит это правило, которое я добавил несколько минут назад

Везде ЗАПРЕТИТЬ ВХОД 202.142.184.68

Но это не остановило сообщения. iplocation помещает IP-адрес в Пакистан. У меня настроен ssh таким образом, чтобы разрешать подключения только с одного порта, и это не стандартный порт для ssh. Для моего идентификатора пользователя на сервере я использую ssh (Putty) без пароля, используя защищенный ключ.

Есть ли способ остановить эти попытки подключения sshd или что бы это ни было. Стоит ли мне попробовать fail2ban, как упоминалось в Как я могу остановить ssh-ботов от попытки подключиться к SSH под root?

Кстати, сервер работает на версии 22.04.1

Мой сервер подвергался попыткам входа примерно каждые 40 секунд круглосуточно. Я использую RSA-аутентификацию, поэтому никто из них так и не смог войти, но количество трафика было надоедливым. Я изменил порт SSH с 22 на другой, неиспользуемый порт. Теперь я получаю меньше одной попытки в день. Некоторые из этих попыток состоят из запросов на обмен баннерами, что sshd.config настроен отклонять.

Ответ или решение

Ошибки обмена баннера sshd: причины и решения

Вы наблюдаете сообщения об ошибках обмена баннером, которые появляются в ваших журналах аутентификации (auth.log). В частности, сообщения вида:

sshd[3635916]: banner exchange: Connection from 202.142.184.68 port 24571: invalid format

возникают часто, что может вызывать беспокойство по поводу сброса безопасности вашего сервера. Давайте разберемся в причинах этих сообщений и возможных путях решения вашей проблемы.

Причины возникновения ошибок

Необычный формат данных: Сообщение об ошибке "invalid format" указывает на то, что при попытке обмена данными с сервером sshd принял некорректный формат пакета. Это может быть следствием того, что кто-то пытается подключиться к вашему SSH-серверу, посылая некорректные или случайные запросы.
Брутфорс-атаки: Учитывая, что вы видите огромное количество запросов с определённого IP-адреса, это может быть признаком брутфорс-атаки. Ваша установка SSH на определённый, не стандартный порт и использование RSA-ключей для аутентификации уже обеспечивают уровень защиты, но этот IP все еще пытается установить соединение.
Селективные сканирования: Иногда злоумышленники используют автоматизированные скрипты, которые пытаются найти уязвимости в SSH-серверах, посылая разные команды или данные, чтобы выявить уязвимости.

Решения для уменьшения атак

Блокировка IP-адресов: Вы уже добавили правило в UFW (Uncomplicated Firewall):
```
Anywhere                   DENY IN     202.142.184.68
```
Однако, если подключения продолжают поступать, вам может потребоваться убедиться, что UFW активирован и работает должным образом. Пожалуйста, проверьте статус UFW с помощью команды:
```
sudo ufw status verbose
```
Инструменты для защиты: Рассмотрите возможность использования Fail2Ban. Этот инструмент будет автоматизировать процесс блокировки IP-адресов, которые проявляют подозрительное поведение, включая многоразовые неудачные попытки входа. Настройка Fail2Ban позволит вам настроить правила на основе логов и автоматически блокировать IP-адреса, с которых происходят атаки.
Изменение конфигурации SSH: Убедитесь, что ваша конфигурация SSH соответствует лучшим практикам безопасности. Например:
- Используйте параметр PermitRootLogin no, чтобы запретить вход для пользователя root.
- Настройте MaxAuthTries на более низкое значение, например, 3, чтобы ограничить количество попыток входа.
- Используйте Match Address для ограничения доступа к SSH с определенных IP-адресов.
Регулярный мониторинг: Периодически проверяйте ваши лог-файлы (например, auth.log) на предмет несанкционированных запросов или ненадлежащей активности. Это позволит вам быть в курсе ситуации и быстро реагировать на возможные угрозы.

Заключение

Сообщения об ошибках обмена баннера в sshd могут вызывать беспокойство, но с правильными мерами предосторожности и инструментами, такими как Fail2Ban, вы сможете значительно снизить уровень нежелательного трафика и обезопасить свой сервер. Убедитесь, что все параметры и правила, которые вы настраиваете, соответствуют вашим потребностям в безопасности, и активно следите за состоянием вашего сервера.

Если вам потребуется дополнительная помощь или информация, не стесняйтесь обращаться за поддержкой к сообществу или профессионалам в области IT-безопасности.