SSHD: Sự khác biệt giữa "kết nối đã đóng..." và "ngắt kết nối khỏi..." trong tệp nhật ký

Dịch vụ sshd trên máy chủ Ubuntu của tôi đang bị tấn công liên tục đối với nhiều ID người dùng và IP khác nhau.

Dựa theo /var/log/auth.log tệp, có ba loại lỗi khác nhau từ id và địa chỉ IP không xác định:

• Đã ngắt kết nối với người dùng không hợp lệ...
• Kết nối bị đóng bởi người dùng không hợp lệ...
• Kết nối bị đóng bởi xxx.xxx.xxx.xxx

Sự khác biệt giữa ba là gì? Có bất kỳ đề xuất nào trong số này đề xuất đăng nhập thành công (trái phép) không? đặc biệt là cái cuối cùng...

Tôi giả định tất cả những điều này đều là những lần thử không thành công, trên cơ sở tôi đã định cấu hình máy chủ SSH để yêu cầu khóa công khai từ IP không phải mạng LAN và đăng nhập hạn chế chỉ với một ID người dùng, không phải root.

Tuy nhiên, trên thực tế, tôi không biết làm cách nào để xác minh rằng các biện pháp phòng ngừa bảo mật này đã được đặt đúng chưa, nếu khóa công khai của tôi không bị xâm phạm hoặc nếu cơ chế xác thực mật khẩu máy chủ của tôi không bị xâm phạm. Vì vậy, tôi không thể nói chắc chắn rằng đây đều là những nỗ lực thất bại.

tôi đã cố gắng sử dụng fail2ban để chặn các cuộc tấn công lặp lại từ một số IP nhất định, nhưng đây là một thất bại lớn. Đầu tiên, không nhanh hơn 24 giờ sau, (những) kẻ tấn công đã chuyển sang luân phiên thông qua hàng trăm địa chỉ IP duy nhất. Thứ hai (và đáng lo ngại hơn) fail2ban dường như không thừa nhận những nỗ lực lặp lại dẫn đến Kết nối bị đóng bởi xxx.xxx.xxx.xxx.

Trong các thỏa thuận với @tilman-schmidt, chỉ vài xu từ phía tôi (liên quan đến fail2ban, v.v.)...

Mọi người dùng OpenSSH liên tục thay đổi hành vi ghi nhật ký, vì vậy nó có thể không được xem xét bởi fail2ban theo mặc định (nó cũng phụ thuộc vào nơi xảy ra ngắt kết nối, ví dụ:vào giai đoạn xác thực trước hoặc sau khi tên người dùng được cung cấp, cũng như phương thức xác thực nào được phép trong sshd của bạn cũng như hành vi của "kẻ xâm nhập").

Ít nhất tôi muốn đặt LogLevel VERBOSE trong sshd_config, như được mô tả trong /etc/fail2ban/filter.d/sshd.conf

Cũng lưu ý câu trả lời này cho câu hỏi tương tự - https://unix.stackexchange.com/questions/662946/fail2ban-regex-help-for-banning-sshd-connection-attempts/663002#663002

không nhanh hơn 24 giờ sau, (những) kẻ tấn công đã chuyển sang xoay vòng qua hàng trăm địa chỉ IP duy nhất

Điều này không liên quan gì đến việc sử dụng fail2ban - máy quét, khi họ tìm thấy trình nghe sshd, đã "xuất bản" nó trong một số danh sách của chúng, vì vậy quá trình quét sâu hơn (ví dụ: với các botnet phân tán) có thể bắt đầu. Đây là số phận đáng tiếc của bất kỳ máy chủ nào có cổng mở ra bên ngoài.

Bạn có thể cố gắng thay đổi cổng ssh sang một thứ khác, nhưng nó chỉ tránh được một nửa số script kiddies (nếu bạn cấm các nỗ lực quét cổng) và về cơ bản không phải là thuốc chữa bách bệnh. Nhưng bạn có thể giảm đáng kể số lượng kẻ xâm nhập ít nhất trong thời gian ngắn cho đến vài tháng. Điều chắc chắn có thể hữu ích là kích hoạt bantime.increment trong fal2ban (đối với nhà tù sshd hoặc theo mặc định).

fail2ban dường như không thừa nhận các lần thử lặp lại dẫn đến Kết nối bị đóng bởi

Điều này không hoàn toàn chính xác. Bạn phải thiết lập chế độ = tích cực vì sshd giam trong tù.local để cho phép fail2ban xem xét bất kỳ loại "tấn công" nào (không chỉ vấn đề xác thực), cũng xảy ra bởi máy quét cổng và các công cụ tương tự DoS.

Và bạn có thể thấy chính xác những gì fail2ban sẽ tìm thấy với bộ lọc hiện tại của bạn bằng lệnh này (lưu ý phù hợp trong dòng cuối cùng từ kết quả):

fail2ban-regex /var/log/auth.log 'sshd[mode=aggressive]'