Por diversión, seguí /var/log/auth.log(tail auth.log) y había muchos de los siguientes:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
La ip parece ser de China ...
Agregué la regla de iptables para bloquear la ip y ahora se ha ido.
Ahora viendo lo siguiente:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
¿Qué son ambas entradas y qué puedo hacer para proteger o ver dinámicamente las amenazas?
Yo tengo fail2baninstalado.
Gracias por adelantado
networking
ssh
security
usuario2625721
fuente
fuente
sshpuerto abierto en el lado público? ¿En qué se agregó la reglaiptables? Exponersessha la parte pública generará muchos éxitos de rastreadores de puertos y crackbots, lo que puede ser la causa de las entradas que está viendo ahora.fail2banparasshinicios de sesión fallidos (2 o 3 fallan antes de la prohibición) con un tiempo de prohibición breve (10-15 minutos) para desalentar a los crackbots, pero no demasiado tiempo para dejarlo bloqueado si bloquea un inicio de sesión intento.Respuestas:
¿Necesita acceso a este host desde múltiples ubicaciones? ¿O puedes usar un jumpbox que tenga una IP estática? Si este es el caso, puede establecer una regla de iptables que solo permita el acceso SSH a una IP específica. Esto le dará una denegación implícita a cualquier persona, excepto a las IP estáticas.
Las otras recomendaciones serían cambiar el servicio para escuchar en un puerto no estándar, deshabilitar la autenticación raíz y configurar fail2ban.
fuente
Intente cambiar su puerto sshd a 1000+. Fail2ban también ayuda.
Por ejemplo, tengo algunos servidores que ejecutan sshd en 1919 o 905 y apenas obtengo estas IP chinas que intentan forzar mis servidores.
fuente