banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Giúp giải thích ý nghĩa về câu log trong author.log file  XML
  [Question]   Giúp giải thích ý nghĩa về câu log trong author.log file 24/12/2008 23:07:45 (+0700) | #1 | 163752
anhsaobang
Member

[Minus]    0    [Plus]
Joined: 27/05/2008 19:44:58
Messages: 2
Offline
[Profile] [PM]
User root from x.x.x.x not allowed because not listed in AllowUsers

Câu này có nghĩa là: User root đã cung cấp đúng mật khẩu nhưng không truy cập được do trong file cấu hình ssh dòng AllowUsers không cho phép user root đăng nhập đúng không ? Hay là điền sai mật khẩu, nếu điền sai mật khẩu thì log nó báo là : Failed password for invalid user ... rồi, hay là gì gì ... Mong mấy anh giải thích hộ dùm thanks
[Up] [Print Copy]
  [Question]   Re: Giúp giải thích ý nghĩa về câu log trong author.log file 24/12/2008 23:48:53 (+0700) | #2 | 163757
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Chưa cần biết mật khẩu đúng hay sai gì hết, chỉ biết rằng 'root' không được phép truy cập đến SSH server. Nếu bạn nhìn thấy hàng loạt thông báo trên trong log file thì có lẽ bạn đang bị SSH brute force attacks.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: Giúp giải thích ý nghĩa về câu log trong author.log file 26/12/2008 00:22:51 (+0700) | #3 | 163862
[Avatar]
phpvirus
Member

[Minus]    0    [Plus]
Joined: 20/09/2006 00:31:36
Messages: 110
Location: TP HCM
Offline
[Profile] [PM] [Yahoo!]
Pác quanta nói vậy có phần chưa chính xác.
Default là ROOT không được ssh vào SERVER.

Nhưng trên thực tế khi mình cài CENTOS 4 & CentOS 5 thì ngay khi cài xong, chưa config gì cả.

Thì vẫn SSH vào server dưới tài khoản ROOT.

Pác quanta có thể giải thích cho em vấn đề này không?

Và pác quanta nói rõ hơn về cái SSH Brute Force Attacks.

Vì có lần kiểm tra log file, mình cũng thấy 1 IP từ Trung Quốc với câu thông báo lỗi trên, liên tục vào server, dưới nhiều user khác nhau, không nhất thiết là user "root".

Thân
[Up] [Print Copy]
  [Question]   Re: Giúp giải thích ý nghĩa về câu log trong author.log file 26/12/2008 04:11:05 (+0700) | #4 | 163894
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
phpvirus,

Bạn chưa config gì cả nhưng có thể chính distro đã cấu hình sshd_config để disable root login rồi. Xem lại file sshd_config, tìm đoạn AllowRootLogin để biết rõ thêm.

Việc bruteforce không nhất thiết là tấn công vào root account, mà còn có thể tấn công vào các account "thông dụng" như test, admin, user, apache, vân vân. Tốt nhất là sử dụng PAM, hoặc chính sshd_config để chỉ cho phép một số user nào đó login remote mà thôi. Limit thêm số lượng connection để giảm hiệu quả của việc bruteforce.

khoai
[Up] [Print Copy]
  [Question]   Re: Giúp giải thích ý nghĩa về câu log trong author.log file 26/12/2008 06:04:59 (+0700) | #5 | 163915
anhsaobang
Member

[Minus]    0    [Plus]
Joined: 27/05/2008 19:44:58
Messages: 2
Offline
[Profile] [PM]

phpvirus wrote:

Vì có lần kiểm tra log file, mình cũng thấy 1 IP từ Trung Quốc với câu thông báo lỗi trên, liên tục vào server, dưới nhiều user khác nhau, không nhất thiết là user "root".

Thân 


Cái này là bạn bị SSH brute force attacks rồi còn nghi ngờ gì nữa.
[Up] [Print Copy]
  [Question]   Re: Giúp giải thích ý nghĩa về câu log trong author.log file 26/12/2008 06:38:53 (+0700) | #6 | 163920
[Avatar]
phpvirus
Member

[Minus]    0    [Plus]
Joined: 20/09/2006 00:31:36
Messages: 110
Location: TP HCM
Offline
[Profile] [PM] [Yahoo!]
@MrKhoai: hình như pác Khoai hiểu nhầm ý mình.

Ý mình nói là khi mình cài mới, và chưa config gì file sshd_config cả thì DEFAULT server sẽ không cho SSH bằng account ROOT.

Nhưng lạ 1 điều là mình vẫn REMOTE được bằng account ROOT đối với bản CentOS 4 và CentOS 5.

Cám ơn pác Khoai về đoạn cuối. Nhưng hình như mình chưa dùng PAM lần nào

Đa số mình sẽ chặn IP nào SSH vào server và change port remote là phổ biến nhất.
Còn phần chỉnh Connection và account remote này thì mình sẽ thêm vào sau

Cám ơn phần gợi ý của pác KHOAI nhé. smilie


Thân.
[Up] [Print Copy]
  [Question]   Re: Giúp giải thích ý nghĩa về câu log trong author.log file 26/12/2008 06:41:56 (+0700) | #7 | 163922
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Chính xác là root vẫn ssh vào được smilie
[Up] [Print Copy]
  [Question]   Re: Giúp giải thích ý nghĩa về câu log trong author.log file 26/12/2008 15:53:51 (+0700) | #8 | 163968
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
phpvirus,

Ah, default không cấu hình PermitRootLogin (comment nó ra) thì bạn vẫn login bằng account root được. Ý anh quanta ở đây là không nên cho account root login remotely bằng cách

- Chỉnh PermitRootLogin thành No
- Xác định rõ user nào được login bằng AllowUser.

Khoai không thích blacklist IP vì có trường hợp mình có thể có một user nào đó sử đụng trúng một trong các IP bị blacklist thì khổ.


anhsaobang,

Câu thông báo trên của bạn là user root không phải là một trong các user được phép log in remotely, cấu hình cụ thể bằng AllowUser Option. Đụng trúng tình trạng này thì ssh có lẽ sẽ không kiểm tra password, nên không thể khẳng định là đúng hay sai password được.

khoai
[Up] [Print Copy]
  [Question]   Giúp giải thích ý nghĩa về câu log trong author.log file 26/12/2008 16:34:54 (+0700) | #9 | 163971
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
Mấy cái trò này xảy ra hầu hết với các server không cấu hình firewall để chặn kết nối SSH. Hầu hết là các trình scan tự động ở khắp nơi trên thế giới, chạy một cách vu vơ vào các địa chỉ IP bất kì, họa may thì dò ra pass. Nếu lo lắng thì hoặc là đổi port, chặn IP, chặn user, etc.
Mind your thought.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|