Por diversão, eu /var/log/auth.logsegui (tail auth.log) e havia muitos dos seguintes:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
O ip parece ser da China ...
Eu adicionei a regra iptables para bloquear o ip e agora se foi.
Agora vendo o seguinte:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
O que são entradas e o que posso fazer para proteger ou ver ameaças dinamicamente.
Eu tenho fail2baninstalado.
desde já, obrigado
networking
ssh
security
user2625721
fonte
fonte
sshporta aberta no lado público? Em que regra foi adicionadaiptables? Asshexposição ao público vai gerar muitos acessos de sniffers e crackbots de portas, o que pode ser a causa das entradas que você está vendo agora.fail2banparasshlogins com falha - 2 ou 3 falham antes do banimento - com um tempo de banimento curto (10 a 15 minutos) para desencorajar os crackbots, mas não muito tempo para deixá-lo bloqueado se você fizer um login tentativa.Respostas:
Você precisa acessar esse host de vários locais? Ou você pode usar uma caixa de salto com um IP estático? Se for esse o caso, você pode definir uma regra de iptables que permita apenas o acesso SSH a um (s) IP (s) específico (s). Isso lhe dará negação implícita a qualquer pessoa, exceto os IPs estáticos.
As outras recomendações seriam alterar o serviço para escutar em uma porta não padrão, desativar a autenticação raiz e configurar o fail2ban.
fonte
Tente alterar sua porta sshd para mais de 1000. Fail2ban também ajuda.
Por exemplo, eu tenho alguns servidores executando o sshd em 1919 ou 905 e mal consigo esses IPs chineses tentando fazer força bruta nos meus servidores.
fonte