Ich habe einen Server mit Debian 6.0 mit installiertem Logcheck. Vor gestern habe ich folgende Nachricht erhalten:
Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4).
Ich weiß nicht, wer das ist und ich bezweifle, dass er versehentlich dort war.
Was soll ich jetzt tun?
Als erstes habe ich die SSH-Passwortauthentifizierung deaktiviert und auf den öffentlichen / privaten Schlüssel umgestellt. Ich habe auch die Datei authorized_keys überprüft und nur meinen öffentlichen Schlüssel gesehen
Was nun?
Wie kann ich wissen, was der andere auf meiner Maschine gemacht hat?
Antworten:
Ich glaube, das ist ein Fehler, der viel zu lange herumhängt und in späteren Versionen (6.0p1) behoben wurde.
Es sollte ziemlich einfach sein, dies zu überprüfen, indem Sie versuchen, von einem eingeschränkten Host aus eine Verbindung zum System herzustellen, indem Sie einen anderen Schlüssel verwenden und sehen, welche Nachrichten Sie erhalten.
quelle
Dies könnte sein , ein langjährigen Fehler in OpenSSH , die nur wurde in 6.0p1 fixiert . In diesem Fall können Sie es ignorieren. Wenn Sie jedoch sicher sein möchten, lautet die ursprüngliche Antwort (vorausgesetzt, Sie sind von diesem Fehler nicht betroffen):
Ihre privaten SSH-Schlüssel wurden wahrscheinlich kompromittiert, da jemand einen gültigen privaten Schlüssel für die Anmeldung bei Ihrem Root-Konto hatte. Die Tatsache, dass sich jemand nicht von einer zulässigen IP-Adresse aus angemeldet hat, hat Sie vor weiteren Kompromissen bewahrt. Dies ist jedoch ein bedeutender Kompromiss. Dies deutet darauf hin, dass Ihre Workstation (oder ein anderer Computer, auf dem Sie normalerweise arbeiten) kompromittiert wurde.
Sie sollten jede Workstation und jeden Server, die Sie berühren, als potenziell gefährdet behandeln. Formatieren und installieren Sie Ihre Workstation (s) neu. Widerrufen / zerstören Sie alle vorhandenen SSH-Schlüssel und geben Sie alles neu ein. Ändern Sie alle Passwörter. Erwägen Sie nachdrücklich, alle Server zu löschen und neu zu installieren, auf denen Sie Zugriff haben, um sich mit diesem Schlüssel anzumelden.
quelle
from
Einschränkungen in Ihrem verwenden,authorized_keys
wie in den Links gezeigt, sind Sie wahrscheinlich von diesem Fehler betroffen. Aber ich würde auf Nummer sicher gehen ...