Cuando inicié sesión esta mañana, ejecuté netstat -plant y encontré un par
de conexiones establecidas en el puerto 22 de China y Francia.
¿Por cuánto tiempo los viste?
Si tiene un servidor SSH en Internet, la gente lo buscará constantemente e intentará atacar con el diccionario las contraseñas comunes. Por lo tanto, los sistemas se conectarán, intentarán varias contraseñas y aplicarán demoras entre intentos, ya que su sistema desea limitar los ataques de fuerza bruta.
Todo esto significa que las conexiones TCP están "establecidas" por segundos o incluso minutos. No son sesiones SSH autenticadas, solo son conexiones TCP.
Aquí, mira:
$ netstat -tn | grep :22 | egrep -v "[my address]"
tcp 0 1080 192.168.1.2:22 123.183.209.136:25690 ESTABLISHED
tcp 0 1 192.168.1.2:22 123.183.209.136:40117 FIN_WAIT1
un par de minutos más tarde:
$ netstat -tn | grep :22
tcp 0 1080 192.168.1.2:22 123.183.209.136:48456 ESTABLISHED
En la primera instantánea, vemos que hay una sesión establecida y otra que aún está siendo demolida. Un par de minutos más tarde, hay una nueva sesión (observe que el puerto del cliente ha cambiado a 48456). Así que esta persona está constantemente abriendo una conexión TCP, tratando de autenticarse, y cuando esa conexión se cierra por demasiados intentos, simplemente abre otro.
Me cuesta creer que una clave rsa de 4096 bits se pueda descifrar
en el espacio de una noche.
¿Hay alguna vulnerabilidad / vulnerabilidad que se pueda utilizar para
¿Eludir la autenticación basada en clave con OpenSSH?
¿La autenticación basada en clave es la mejor opción para permitir el acceso con SSH? Qué son
las alternativas?
No te asustes todavía. Mira las conexiones; a menos que vea una última por un período de tiempo significativo, probablemente no tenga que preocuparse.
También puede verificar el resultado de last
para ver si alguien realmente está iniciando sesión, y correlacionar su dirección de origen (por ejemplo, no se preocupe por los inicios de sesión desde la IP desde la que usted inicia sesión):
$ last
gowenfawr pts/0 192.168.1.3 Thu Aug 3 18:55 still logged in
gowenfawr pts/0 172.16.43.21 Thu Aug 3 03:29 - 03:29 (00:00)
gowenfawr pts/0 172.16.43.21 Thu Aug 3 03:19 - 03:29 (00:09)
gowenfawr pts/0 172.16.43.21 Thu Aug 3 03:04 - 03:06 (00:02)
gowenfawr pts/1 192.168.1.3 Wed Aug 2 19:44 - 21:09 (01:25)
wtmp begins Wed Aug 2 19:44:26 2017
Aunque, por supuesto, si alguien hizo comprometer su sistema, no podría confiar en last
o netstat
de todos modos.