jumpserver登陆日志127.0.0.1问题

1,197次阅读
没有评论

共计 2506 个字符,预计需要花费 7 分钟才能阅读完成。

Jumpserver 版本: 1.5.0-2

最近发现 jumpserver 跳板机登陆日志中出现了很多 127.0.0.1 的登陆,而且 UA 还是 python-requests/2,首先看到这个日志总感觉服务器中毒了,但是经过查看和检查发现服务器并没有被黑的痕迹,在网上搜索也是一无所获。

jumpserver 登陆日志 127.0.0.1 问题

可以看到登陆是通过 web 请求过来的,但是通过检查 nginx 日志并没有发现有异常请求登陆接口的,通过调试 django debug 日志发现请求都是通过 api/users/v1/auth 接口过来的。

jumpserver 登陆日志 127.0.0.1 问题

调用这个接口的正是 coco 组件,coco 组件会开放一个 2222 端口,通过 2222 端口可以使用 ssh 的方式登陆跳板机,如果用户名和密码是错误的那么就会出现如下报错:

Password and public key auth <%s> failed, reject it
coco 认证是通过调用 jumpserver api 的方式实现的,可以在 coco interface.py源码中看到具体的实现方式。
可以通过添加客户端 Ip 打印的方式记录访问者 ip,然后可以对异常 ip 进行封禁
   def check_auth_password(self, username, password):

        user = self.validate_auth(username, password=password)

        if not user:

            logger.warning('连接 IP:%s' % self.connection.addr[0])
            logger.warning("Password and public key auth <%s> failed, reject it" % username)

            return paramiko.AUTH_FAILED

        else:

            logger.info("Password auth <%s> success" % username)

            if self.otp_auth:

                return paramiko.AUTH_PARTIALLY_SUCCESSFUL

            return paramiko.AUTH_SUCCESSFUL

在函数 check_auth_password 中加入日志打印

logger.warning('连接 IP:%s' % self.connection.addr[0])

这样就可以记录异常连接的 IP
jumpserver 登陆日志 127.0.0.1 问题

可以通过配置 coco 黑名单阻止日常的黑产扫描

更改文件 coco/config.yml 配置 BLOCK_SSH_USER 变量

# SSH 黑名单, 如果用户同时在白名单和黑名单,黑名单优先生效
BLOCK_SSH_USER: ['root','nagios','admin','postgres','ubuntu','test','test','support','Administrator','zabbix']

通过观察日志可以看到异常请求登陆的 IP 地址
jumpserver 登陆日志 127.0.0.1 问题
通过 jumpserver 管理界面可以看到记录到的 IP 是 127.0.0.1
jumpserver 登陆日志 127.0.0.1 问题

可以把日志记录增加到前面,这样就可以记录每一个 ssh 登陆者的 ip 地址,上面的更改只能记录失败情况下的 ip 地址,记录所有 ssh 登陆的 ip 地址更利于后期的安全排查。

coco/interface.py

def check_auth_password(self, username, password):
        logger.info('SSH 连接 IP:%s' % self.connection.addr[0])
        user = self.validate_auth(username, password=password)

        if not user:
            logger.warning("Password and public key auth <%s> failed, reject it" % username)
            return paramiko.AUTH_FAILED
        else:
            logger.info("Password auth <%s> success" % username)
            if self.otp_auth:
                return paramiko.AUTH_PARTIALLY_SUCCESSFUL
            return paramiko.AUTH_SUCCESSFUL

异常 IP

jumpserver 登陆日志 127.0.0.1 问题

也可以更改请求的 user-agent 来进行标识,区分哪些请求是通过 coco 组件过来的

更改代码:coco/interface.py 125 行左右

jumpserver 登陆日志 127.0.0.1 问题

更改如下:

 

def validate_auth(self, username, password="", public_key=""):
        if self.check_block_ssh_user(username) or \
                not self.check_allow_ssh_user(username):
            logger.warn("User in black list or not allowed: {}".format(username))
            return None
        app_service.http.default_headers = {"user-agent": 'coco-ssh'}
        info = app_service.authenticate(
            username, password=password, public_key=public_key,
            remote_addr=self.connection.addr[0]
        )
        user = info.get('user', None)
        if user:
            self.connection.user = user
            self.info = info

        seed = info.get('seed', None)
        token = info.get('token', None)
        if seed and not token:
            self.connection.otp_auth = True
            self.otp_auth = True
        return user

查看 jumpserver 登陆日志,可以看到 ssh 登陆的 UA 都变为 coco-ssh
jumpserver 登陆日志 127.0.0.1 问题

正文完
 0
ddn
版权声明:本站原创文章,由 ddn 2019-10-29发表,共计2506字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)