Slashdot พึ่งเสนอข่าวเรื่องการพยายามเจาะเข้าเครื่องแม่ข่ายทาง SSH โดยข่าวต้นฉบับคือ "Recent SSH Brute-Force Attacks" น่าสนใจอ่านมากสำหรับผู้ดูแลระบบทุกคนครับ
สำหรับเครื่องแม่ข่ายที่ผมดูแลอยู่ ผมเปิด port อยู่ไม่กี่ port และหนึ่งในนั้นคือ SSH (บอกกันตรงๆ เลย) ผมเองเห็นความพยายามเจาะตามแบบที่บทความได้พูดถึงมานานแล้ว แต่ไม่เคยทำอย่างที่บทความแนะนำ นั่นคือรายงานคนดูแล network block นั้นๆ ถึง abuse ที่เกิดขึ้น ต่อไปคงต้องเริ่มทำแล้ว ถ้าไม่ช่วยกันก็คงไม่มีใครช่วย
ตัวอย่าง IP ที่พยายามเจาะเครื่องผมเมื่อวานนี้ได้แก่ 65.19.143.177 209.177.110.4 และ 211.20.135.19 ครับ มีการพยายามเจาะมาจากไหนบ้างผมเก็บบันทึกไว้หมดแน่นอน ส่วนใหญ่มาจากหลากหลายประเทศ เจ้าประจำก็จากรัสเซียกับจีน แต่บางทีก็มีการพยายามเจาะระบบมาจากประเทศไทยเหมือนกัน พอให้ได้ตื่นเต้นครับ
อย่างน้อยก็น่าจะเปลี่ยน port ที่ใช้นะครับ จา port 22 เป็นอะไรก็ได้
และกำหนดเครื่องที่สามารถใช้ได้
อย่างผมเอง ก็กำหนดใก้เครื่องที่อยู่ ตึกเดียวกับ Server เท่านั้นที่สามารถใช้ ssh เข้ามายัง Server ได้ แต่จะมี server อยู่ตัวหนึ่งที่ไม่ค่อยสำคัญอะไรมากนักที่อนุญาติให้เข้าได้จาก IP ทั่วโลก เอาไว้ใช้เวลาที่ผมไม่ได้อยู่ในตึก
ขอบคุณมากครับ เปลี่ยนจาก port 22 เป็น port อื่นก็กันได้ไปชั้นหนึ่งแน่นอนครับ เดี๋ยวจะรีบทำครับ