OpenSSH: взломан перед настройкой?

Сегодня я попытался настроить OpenSSH на своем компьютере в надежде на возможность подключения к нему с другого компьютера на работе. Это была моя первая попытка использовать open-ssh.

Я сделал следующие шаги:

  • sudo apt-get install openssh-server
  • модифицированный /etc/ssh/sshd_config
    • изменил порт с 22 на номер выше 2000
    • изменил PermitRootLogin на нет
    • изменил PasswordAuthentication на нет
  • сделал /etc/init.d/ssh restart

Я в основном пытался следовать всем правилам безопасности, которые были установлены в онлайн-документации. Затем я немного дурачился, пытаясь настроить переадресацию портов на маршрутизаторе.

Я предположил, что, поскольку я не генерировал никаких ключей или явно устанавливал пароли, никто не мог получить доступ к серверу, который, как я полагаю, фактически работал.

Мой вопрос, в основном, заключается в том, что меня сейчас беспокоит несколько факторов: мой интернет кажется медленнее, и у меня неожиданно произошел сбой нескольких приложений. Кажется, что внезапно мой компьютер стал менее надежным, и моя автоматическая мысль была проверить мое предположение, что сервер open-ssh недоступен, если его ключи не были сгенерированы и пароль не был установлен.

Мой вопрос тогда, каково состояние сервера open-ssh, когда он перезапускается в первый раз? Есть ли способ, к которому могут получить доступ злоумышленники снаружи? Так как я не дошел до установки паролей или сертификатов (потому что я испугался), в какой момент сервер open-ssh становится ответственным (то есть взломанным)?

Я не могу себе представить, что сервер мгновенно доступен с паролем по умолчанию: этим было бы легко воспользоваться, верно? В то же время я волнуюсь, потому что это все для меня очень ново.

Некоторые вещи, которые я вижу в /var/log/auth.log это беспокоило меня

  • сообщения от polkitd(authority=local) сказать что-то о незарегистрированном агенте аутентификации
  • повторные попытки доступа /lib/security/pam_kwallet.so
  • сообщение, которое /tmp/.X11-unix/X0 был связан с /run/user/112/X11-display (кто пользователь 112?)

Я рассмотрел каждый из них, и кажется, что их можно объяснить, но в то же время компьютер без этой попытки настроить openssh имеет значительно меньше странных сообщений, подобных этому.

надеясь, что кто-то может меня успокоить.

Источник

1 ответ

Решение

Я очень сомневаюсь, что тебя взломали. Может быть, какой-то автоматизированный бот TRIED что-то делает, но я сомневаюсь, что это даже произошло..

Если вы отключили аутентификацию по паролю и не настроили открытый ключ, вероятность того, что что-либо случится, очень мала.

В ответ на ваш auth.log запросы:

  1. Это просто PAM на что-то жалуется. Обычно просто ошибка программирования или плохая зависимость. Может быть, отсутствуют сертификаты SSH? (Не о чем беспокоиться)
  2. Почти то же самое, что и #1. Я предполагаю кого-то (sshd) пытался найти сертификаты и не нашел их. Сертификаты обычно хранятся в вещах, называемых "кошельки". (Не о чем беспокоиться)
  3. Пользователь 112 является пользователем LightDM. Для него совершенно нормально разговаривать с Xserver. (Не о чем беспокоиться)

введите описание изображения здесь

Что касается нестабильности и скорости сети, вы просто включили сервер. Это определенно будет медленнее. Даже если ничего не происходит. Увеличение сбоя программы также, вероятно, связано. Сейчас на вашем компьютере используется больше ресурсов. Может быть, есть несколько проблем с конфигурацией.

Также я имел дело с хакерами. Если они ищут важные документы и не находят их, они часто будут троллить. Они будут удалять случайные файлы. Они будут стирать жесткие диски. Они оставят вашу систему в беспорядке. Я думаю, что вы в безопасности.

Источник
Другие вопросы по тегам