Giúp giải thích ý nghĩa về câu log trong author.log file

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành *nix

Giúp giải thích ý nghĩa về câu log trong author.log file

[Question] Giúp giải thích ý nghĩa về câu log trong author.log file	24/12/2008 23:07:45 (+0700) \| #1 \| 163752

anhsaobang
Member

Joined: 27/05/2008 19:44:58
Messages: 2
Offline

User root from x.x.x.x not allowed because not listed in AllowUsers

Câu này có nghĩa là: User root đã cung cấp đúng mật khẩu nhưng không truy cập được do trong file cấu hình ssh dòng AllowUsers không cho phép user root đăng nhập đúng không ? Hay là điền sai mật khẩu, nếu điền sai mật khẩu thì log nó báo là : Failed password for invalid user ... rồi, hay là gì gì ... Mong mấy anh giải thích hộ dùm thanks

[Question] Re: Giúp giải thích ý nghĩa về câu log trong author.log file	24/12/2008 23:48:53 (+0700) \| #2 \| 163757

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Chưa cần biết mật khẩu đúng hay sai gì hết, chỉ biết rằng 'root' không được phép truy cập đến SSH server. Nếu bạn nhìn thấy hàng loạt thông báo trên trong log file thì có lẽ bạn đang bị SSH brute force attacks.

Let's build on a great foundation!

[Question] Re: Giúp giải thích ý nghĩa về câu log trong author.log file	26/12/2008 00:22:51 (+0700) \| #3 \| 163862

phpvirus
Member

Joined: 20/09/2006 00:31:36
Messages: 110
Location: TP HCM
Offline

Pác quanta nói vậy có phần chưa chính xác.
Default là ROOT không được ssh vào SERVER.

Nhưng trên thực tế khi mình cài CENTOS 4 & CentOS 5 thì ngay khi cài xong, chưa config gì cả.

Thì vẫn SSH vào server dưới tài khoản ROOT.

Pác quanta có thể giải thích cho em vấn đề này không?

Và pác quanta nói rõ hơn về cái SSH Brute Force Attacks.

Vì có lần kiểm tra log file, mình cũng thấy 1 IP từ Trung Quốc với câu thông báo lỗi trên, liên tục vào server, dưới nhiều user khác nhau, không nhất thiết là user "root".

Thân

[Question] Re: Giúp giải thích ý nghĩa về câu log trong author.log file	26/12/2008 04:11:05 (+0700) \| #4 \| 163894

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

phpvirus,

Bạn chưa config gì cả nhưng có thể chính distro đã cấu hình sshd_config để disable root login rồi. Xem lại file sshd_config, tìm đoạn AllowRootLogin để biết rõ thêm.

Việc bruteforce không nhất thiết là tấn công vào root account, mà còn có thể tấn công vào các account "thông dụng" như test, admin, user, apache, vân vân. Tốt nhất là sử dụng PAM, hoặc chính sshd_config để chỉ cho phép một số user nào đó login remote mà thôi. Limit thêm số lượng connection để giảm hiệu quả của việc bruteforce.

khoai

[Question] Re: Giúp giải thích ý nghĩa về câu log trong author.log file	26/12/2008 06:04:59 (+0700) \| #5 \| 163915

anhsaobang
Member

Joined: 27/05/2008 19:44:58
Messages: 2
Offline

phpvirus wrote:

Vì có lần kiểm tra log file, mình cũng thấy 1 IP từ Trung Quốc với câu thông báo lỗi trên, liên tục vào server, dưới nhiều user khác nhau, không nhất thiết là user "root".

Thân

Cái này là bạn bị SSH brute force attacks rồi còn nghi ngờ gì nữa.

[Question] Re: Giúp giải thích ý nghĩa về câu log trong author.log file	26/12/2008 06:38:53 (+0700) \| #6 \| 163920

phpvirus
Member

Joined: 20/09/2006 00:31:36
Messages: 110
Location: TP HCM
Offline

@MrKhoai: hình như pác Khoai hiểu nhầm ý mình.

Ý mình nói là khi mình cài mới, và chưa config gì file sshd_config cả thì DEFAULT server sẽ không cho SSH bằng account ROOT.

Nhưng lạ 1 điều là mình vẫn REMOTE được bằng account ROOT đối với bản CentOS 4 và CentOS 5.

Cám ơn pác Khoai về đoạn cuối. Nhưng hình như mình chưa dùng PAM lần nào

Đa số mình sẽ chặn IP nào SSH vào server và change port remote là phổ biến nhất.
Còn phần chỉnh Connection và account remote này thì mình sẽ thêm vào sau

Cám ơn phần gợi ý của pác KHOAI nhé. smilie

Thân.

[Question] Re: Giúp giải thích ý nghĩa về câu log trong author.log file	26/12/2008 06:41:56 (+0700) \| #7 \| 163922

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Chính xác là root vẫn ssh vào được smilie

[Question] Re: Giúp giải thích ý nghĩa về câu log trong author.log file	26/12/2008 15:53:51 (+0700) \| #8 \| 163968

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

phpvirus,

Ah, default không cấu hình PermitRootLogin (comment nó ra) thì bạn vẫn login bằng account root được. Ý anh quanta ở đây là không nên cho account root login remotely bằng cách

- Chỉnh PermitRootLogin thành No
- Xác định rõ user nào được login bằng AllowUser.

Khoai không thích blacklist IP vì có trường hợp mình có thể có một user nào đó sử đụng trúng một trong các IP bị blacklist thì khổ.

anhsaobang,

Câu thông báo trên của bạn là user root không phải là một trong các user được phép log in remotely, cấu hình cụ thể bằng AllowUser Option. Đụng trúng tình trạng này thì ssh có lẽ sẽ không kiểm tra password, nên không thể khẳng định là đúng hay sai password được.

khoai

[Question] Giúp giải thích ý nghĩa về câu log trong author.log file	26/12/2008 16:34:54 (+0700) \| #9 \| 163971

StarGhost
Elite Member

Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline

Mấy cái trò này xảy ra hầu hết với các server không cấu hình firewall để chặn kết nối SSH. Hầu hết là các trình scan tự động ở khắp nơi trên thế giới, chạy một cách vu vơ vào các địa chỉ IP bất kì, họa may thì dò ra pass. Nếu lo lắng thì hoặc là đổi port, chặn IP, chặn user, etc.

Mind your thought.

Go to:

Users currently in here
1 Anonymous