Proxmox логтарын талдау арқылы SSH арқылы шабуылдардың әрекеттерін анықтау

Кіріспе

Proxmox — виртуализация үшін қуатты және көп функционалды платформа, ол виртуалды машиналар мен контейнерлерді басқару үшін кеңінен қолданылады. Қауіпсіздіктің маңызды аспектілерінің бірі — логтарды бақылау және шабуылдардың мүмкін болатын қауіптерін анықтау. Бұл мақалада Proxmox жүйесінде SSH арқылы шабуыл әрекеттерін анықтау үшін логтарды талдаудың әдістері мен серверлердің қауіпсіздігін арттыруға арналған кеңестер беріледі.

SSH арқылы шабуылдар — әкімшілер жиі кездесетін қауіптердің бірі. Парольді анықтау шабуылдары, сондай-ақ осалдықтарды пайдалану — бұл серверлер үшін нақты қауіп. Осындай шабуылдарды алдын алу үшін логтарды жүйелі түрде талдау және серверді дұрыс конфигурациялау қажет.

Proxmox жүйесіндегі маңызды логтар

Proxmox бірнеше негізгі лог-файлдарын қолданады, олар сервердегі әрекеттерді бақылауға арналған. SSH арқылы шабуылдарды анықтау үшін төмендегі файлдар маңызды:

1. /var/log/auth.log — SSH арқылы аутентификация әрекеттерін, оның ішінде сәтсіз және сәтті кірістерді қамтиды.
2. /var/log/syslog — жүйелік оқиғаларды, соның ішінде желілік сұраныстар мен қателерді қамтитын жалпы лог.
3. /var/log/pve/tasks/index — Proxmox веб-интерфейсі арқылы орындалған тапсырмалардың логтары. Бұл лог күдікті операцияларды, мысалы, пайдаланушыларды жасау немесе конфигурацияны өзгерту кезінде пайдалы болуы мүмкін.

Терең диагностиканы жүргізу үшін тек қателік аутентификацияларды ғана емес, сонымен қатар басқа оқиғаларды да мұқият тексеру қажет, себебі олар қауіптің бар екендігін көрсететін белгілер болуы мүмкін.

Шабуыл әрекеттерін анықтау үшін логтарды талдау

1. Сәтсіз кіру әрекеттерін тексеру

SSH арқылы шабуыл жасаудың негізгі белгісі — бұл сәтсіз кірістердің көп болуы. Бұл жазбалар әдетте "Failed password" немесе "Invalid user" деген сөздерді қамтиды. Мұндай әрекеттерді анықтау үшін grep командасын пайдалану арқылы логтарды сүзуге болады.

Мысал: Сәтсіз кіру әрекеттерін іздеу

Нәтиже келесідей болуы мүмкін:

Бұл мысалда 192.168.1.100 IP-мекенжайынан бірнеше рет root пайдаланушысы үшін қате пароль енгізілгені көрсетілген. Мұндай жазбалардың көп болуы қысқа уақыт ішінде парольді іріктеу шабуылының (Brute Force) белгісі болуы мүмкін.

Мысал: "Invalid user" бойынша іздеу

Сондай-ақ, логтарды бар емес пайдаланушылармен кіру әрекеттері үшін іздеу пайдалы болады, себебі олар да шабуыл әрекетінің белгісі болуы мүмкін.

Нәтиже:

Бұл жазбалар серверде жоқ пайдаланушылармен кіруге тырысудың белгісі болып табылады.

2. Сәтті кірулерді тексеру

Сәтті кірулерді бақылау да маңызды. Шабуыл сәтті болуы мүмкін, және шабуылшы серверге кіріп алу үшін парольді немесе ұрланған деректерді пайдалану арқылы қол жеткізуі мүмкін.

Мысал: Сәтті кірулерді іздеу

Сәтті кірулерді іздеу үшін келесі команданы орындаңыз:

Нәтиже:

Бұл жағдайда, қай IP-мекенжайдан кіргенін және ол таныс көзден келетінін тексеру маңызды. Егер кіріс кездейсоқ IP-мекенжайынан болса, бұл есептік жазбаның бұзылғанын көрсетуі мүмкін.

Мысал: Көптеген сәтті кірістерді тексеру

Егер логтарда қысқа уақыт ішінде бірнеше сәтті кірістер болса, бұл шабуылдың белгілері болуы мүмкін. Мұндай жағдайларды талдау үшін IP-мекенжайлары бойынша жазбаларды сұрыптауға болады:

Бұл сұрау әр IP-мекенжайынан қанша сәтті кіру болғанын көрсетеді.

3. Fail2ban пайдалану арқылы қорғау

Парольдерді таңдау шабуылдарынан автоматты түрде қорғау үшін fail2ban құралы пайдалы. Бұл құрал логтарды талдайды және сәтсіз кіру әрекеттері жиі болған IP-мекенжайларын автоматты түрде блоктай алады.

Мысал: Fail2ban-ды SSH қорғауы үшін орнату

1. Fail2ban орнатыңыз:

   bash

   Копировать

   apt-get install fail2ban

2. Fail2ban конфигурациясын өзгертіңіз, SSH қорғауын қосу үшін /etc/fail2ban/jail.local файлын өңдеңіз:

   ini

   Копировать

   [sshd] enabled = true port = ssh logpath = /var/log/auth.log maxretry = 5 bantime = 600 findtime = 600

   Бұл конфигурация бойынша fail2ban 10 минут ішінде (findtime) 5 сәтсіз әрекет жасаған IP-мекенжайын 10 минутқа (bantime) блоктайды.

3. Fail2ban-ды қайта іске қосыңыз:

   bash

   Копировать

   systemctl restart fail2ban

Енді, егер кіру әрекеттерінің саны белгіленген шектен асып кетсе, fail2ban автоматты түрде IP-мекенжайын 10 минутқа блоктайды.

4. Әр түрлі пайдаланушылармен шабуылдарды анықтау және блоктау

Шабуылдар бірнеше пайдаланушы есептік жазбасына бағытталуы мүмкін, және шабуылшы әртүрлі логиндер мен парольдердің комбинациясын пайдалануы мүмкін. Мұндай шабуылдарды іздеу үшін әртүрлі есептік жазбалардан кіру әрекеттерін талдау маңызды.

Мысал: Root есептік жазбасы бойынша кіру әрекеттерін тексеру

Нәтиже келесідей болуы мүмкін:

Егер root пайдаланушысына сәтті кіру тіркелген болса, бұл қауіпсіздік бұзылуының белгісі болуы мүмкін. SSH арқылы root үшін кірісті өшіру ұсынылады. /etc/ssh/sshd_config файлына келесі параметрді қосыңыз:

Бұл root пайдаланушысына SSH арқылы кіруге тыйым салады.

5. Rsyslog арқылы орталықтандырылған логтарды пайдалану

Үлкен инфрақұрылымдарда логтарды орталықтандырып талдау үшін және бақылауды жақсарту үшін Rsyslog пайдалану пайдалы болады. Бұл жағдайда бірнеше серверден келген логтар бір жерге жиналады, бұл талдауды жеңілдетеді.

Орталықтандырылған логтарды орнату үшін:

1. Proxmox серверінде Rsyslog орнатып және конфигурациялаңыз.

2. /etc/rsyslog.conf конфигурация файлын өңдеп, логтарды орталық серверге бағыттау үшін қосыңыз.

Мысал конфигурациясы:

Мұндағы logserver.example.com — орталық лог серверінің мекенжайы. Енді барлық логтар сіздің Proxmox серверіңізден осы серверге жіберіледі.

6. SSH-ды қорғаудың басқа механизмдерін қолдану

Fail2ban және орталықтандырылған логтарды пайдалану ғана емес, сонымен қатар SSH қауіпсіздігін арттыру үшін қосымша шараларды қабылдау қажет:

• Парольдерді өшіру және SSH кілттерін пайдалану: Бұл қауіпсіздікті айтарлықтай арттырады, себебі SSH кілттерін бұзу әлдеқайда қиын.

  /etc/ssh/sshd_config файлына мына параметрді қосыңыз:

  ini

  Копировать

  PasswordAuthentication no

• IP-мекенжайлар бойынша кіруді шектеу: Егер сервер тек белгілі бір көздерден қолжетімді болса, басқа IP-мекенжайлардан кіруге шектеу қойыңыз. Бұл SSH конфигурациясы немесе брандмауэр арқылы жасалуы мүмкін.

  SSH конфигурациясы мысалы:

  ini

  Копировать

  AllowUsers Бұл электронды пошта мекен-жайы спам-боттардан қорғалған, оны қарау үшін Сізде Javascript қосылған..1.*

• Екі факторлы аутентификация (2FA) пайдалану: SSH үшін екі факторлы аутентификацияны қолданыңыз. Бұл шабуылдарды жеңу үшін қосымша қорғаныс деңгейін қосады.

Қорытынды

Proxmox жүйесінде SSH арқылы шабуылдарды анықтау үшін логтарды талдау қауіпсіздікті қамтамасыз етудің маңызды бөлігі болып табылады. Логтарды жүйелі түрде бақылау, автоматты қорғаныс жүйелерін орнату (мысалы, fail2ban) және SSH дұрыс конфигурациялау шабуылдардың сәтті болуын айтарлықтай төмендетуге көмектеседі. Жоғарыда айтылған әдістер мен кеңестерді қолдана отырып, сіз Proxmox серверлеріңіздің қауіпсіздігін айтарлықтай жақсарта аласыз.

Реклама Google

 

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.