koko服务出现大量的Authenticate err: POST http://core:8080/api/v1/authentication/tokens/ failed错误

做日志审查过程中出现大量的用户登录错误。不清楚是否受到攻击。外网的终端登录端口2222已经关闭了,也做了防火墙显示还是不停的出现。


把服务器重置密码,密钥,登录的用户全部下线,不清楚你是怎么开放到外网的可以说明一下

通过如下方式开放外网
1、通过nginx代理转换到对应的内网堡垒机的80端口
2、在入口防火墙处做了nat配置,将指定公网地址443端口目的地址转换为nginx代理端口443

你先观察一下还有没有什么其他问题

看起来确实像,建议禁用默认admin账号,同时强制启用用户mfa。或者关闭公网入口

使用上没有其他问题,就是日志显示大量外网地址连接。怕被攻击,有个奇怪的问题我走nginx代理,按正常来说日志的源地址应该是nginx内网地址,如果是从nginx端攻击不应该显示是公网地址。另外这个类型是终端这个是否和web的访问端口不一致

终端访问就是指命令行界面去登录到 jumpserver 的方式 用户通过密钥连接 JumpServer 堡垒机 - FIT2CLOUD 知识库,nginx配置了透传会显示实际访问ip地址

将默认账号admin 修改为其他名称。就看不到烦人的日志了

这个是消息订阅里的 可以移除

改完后一段时间没有问题,最近一个月又出现了。

具体哪个订阅

系统设置->消息通知->消息订阅