Regelmatig (
dagelijks, nee: dagelijks vaak meerdere keren) lees ik in /var/log/auth:
Invalid user test from xxx.xxx.xxx.xxx
en behalve 'test' een lange lijst met tientallen andere mogelijke inlognamen van systeemgebruikers als 'admin', 'web', 'ftpuser', 'guest', 'oracle', enz. En ook van tientallen (of meer?) gewone namen als 'tom', 'paul', 'susan', 'pamela', enz., enz.
En ook:
User root from xxx.xxx.xxx.xxx not allowed because none of user's groups are listed in AllowGroups
en ook hier naast 'root' ook een aantal andere bestaande gebruikersnamen zoals 'mysql', 'www-data', 'backup', enz.
--> Als je een ssh server openzet voor internet is de
AllowGroups parameter van belang! Bij de topicstarter op tweakers was dit blijkbaar
niet gedaan, of was 'test' lid van deze groep.
En ook kom ik tegen:
Did not receive identification string from xxx.xxx.xxx.xxx
--> Het is van belang (bijna noodzakelijk?) als je een ssh server via internet wilt gebruiken je de parameter
PasswordAuthentication op
no zet in /etc/ssh/sshd_config :
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
Wachtwoorden 'raden' is dan niet meer mogelijk omdat er ALTIJD een ssh-sleutel nodig is.
Voor de volledigheid xxx.xxx.xxx.xxx staat voor meerdere ip-adressen! Hoewel er soms wel hetzelfde patroon in namen is te herkennen. Dus het is of:
- dezelfde 'hacker' die over meerdere ip-adressen kan beschikken,
- verschillende 'hackers' die hetzelfde script gebruiken?
Het is dan ook niet verrassend dat de /var/log/auth.log en /var/log/auth.log.0 de grootste logbestanden zijn in /var/log.