Для забавы я хвостатая /var/log/auth.log(tail auth.log), и было много из следующего:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
IP, кажется, из Китая ...
Я добавил правило iptables, чтобы заблокировать IP, и теперь нет.
Теперь вижу следующее:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
Что такое обе записи и что я могу сделать для защиты или динамического просмотра угроз.
Я fail2banустановил.
заранее спасибо
networking
ssh
security
user2625721
источник
источник
sshоткрытый порт на публичной стороне? В чем было добавлено правилоiptables? Послеsshподвергаются общественной стороне будет генерировать много попаданий из порта снифферов и crackbots, которые могут быть причиной записи вы видите в настоящее время.fail2banдля неудачныхsshвходов в систему - 2 или 3 сбоя перед блокировкой - с коротким временем запрета (10-15 минут), чтобы препятствовать взлому, но не слишком долго, чтобы оставить вас заблокированным, если вы пропустите логин попытка.Ответы:
Вам нужен доступ к этому хосту из нескольких мест? Или вы можете использовать Jumpbox, который имеет статический IP? В этом случае вы можете установить правило iptables, которое разрешает доступ SSH только к определенным IP-адресам. Это даст вам скрытое запрещение для всех, кроме статических IP-адресов.
Другими рекомендациями будет изменение службы для прослушивания нестандартного порта, отключение аутентификации root и настройка fail2ban.
источник
Попробуйте изменить свой порт sshd на 1000+. Fail2ban тоже помогает.
Например, у меня есть несколько серверов, работающих под управлением sshd в 1919 или 905 годах, и я едва получаю эти китайские IP-адреса, пытаясь взломать мои сервера.
источник