/ var / log entradas sospechosas

8

Por diversión, seguí /var/log/auth.log(tail auth.log) y había muchos de los siguientes:

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

La ip parece ser de China ...

Agregué la regla de iptables para bloquear la ip y ahora se ha ido.

Ahora viendo lo siguiente:

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

¿Qué son ambas entradas y qué puedo hacer para proteger o ver dinámicamente las amenazas?
Yo tengo fail2baninstalado.

Gracias por adelantado

usuario2625721
fuente
¿Necesita el sshpuerto abierto en el lado público? ¿En qué se agregó la regla iptables? Exponerse ssha la parte pública generará muchos éxitos de rastreadores de puertos y crackbots, lo que puede ser la causa de las entradas que está viendo ahora.
douggro
El servidor está alojado en Linode.com, me dirijo a la caja para administrar, cambiar y hacer todo, así que necesito ssh por ahora. Agregué una regla de iptables para bloquear la dirección / 24 de China. Pero necesito estar más seguro y no preocuparme tanto por los hackers.
user2625721
1
Puede usar una configuración de umbral muy bajo fail2banpara sshinicios de sesión fallidos (2 o 3 fallan antes de la prohibición) con un tiempo de prohibición breve (10-15 minutos) para desalentar a los crackbots, pero no demasiado tiempo para dejarlo bloqueado si bloquea un inicio de sesión intento.
douggro

Respuestas:

1

¿Necesita acceso a este host desde múltiples ubicaciones? ¿O puedes usar un jumpbox que tenga una IP estática? Si este es el caso, puede establecer una regla de iptables que solo permita el acceso SSH a una IP específica. Esto le dará una denegación implícita a cualquier persona, excepto a las IP estáticas.

Las otras recomendaciones serían cambiar el servicio para escuchar en un puerto no estándar, deshabilitar la autenticación raíz y configurar fail2ban.

Enefbee
fuente
0

Intente cambiar su puerto sshd a 1000+. Fail2ban también ayuda.

Por ejemplo, tengo algunos servidores que ejecutan sshd en 1919 o 905 y apenas obtengo estas IP chinas que intentan forzar mis servidores.

Kriev
fuente