Zum Spaß habe ich verfolgt /var/log/auth.log(tail auth.log) und es gab viele der folgenden:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
Die IP scheint aus China zu sein ...
Ich habe die iptables-Regel hinzugefügt, um die IP zu blockieren, und ist jetzt weg.
Jetzt sehen Sie Folgendes:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
Was sind beide Einträge und was kann ich tun, um Bedrohungen zu schützen oder dynamisch zu sehen?
Ich habe fail2baninstalliert.
Danke im Voraus
networking
ssh
security
user2625721
quelle
quelle
sshHafen auf der öffentlichen Seite geöffnet? Was war die Regel hinzugefügtiptables? Wenn Siesshder öffentlichen Seite ausgesetzt sind, werden viele Treffer von Port-Sniffern und Crackbots generiert, was möglicherweise die Ursache für die Einträge ist, die Sie jetzt sehen.fail2banfür fehlgeschlagenesshAnmeldungen verwenden - 2 oder 3 schlagen vor dem Sperren fehl - mit einer kurzen Sperrzeit (10-15 Minuten), um die Crackbots zu entmutigen, aber nicht zu lange, um Sie gesperrt zu lassen, wenn Sie eine Anmeldung starten Versuch.Antworten:
Benötigen Sie Zugriff auf diesen Host von mehreren Standorten aus? Oder können Sie eine Jumpbox mit einer statischen IP verwenden? In diesem Fall können Sie eine iptables-Regel festlegen, die nur den SSH-Zugriff auf eine bestimmte IP (s) ermöglicht. Dies gibt Ihnen implizite Verweigerung für alle außer den statischen IPs.
Die anderen Empfehlungen wären, den Dienst so zu ändern, dass er einen nicht standardmäßigen Port überwacht, die Root-Authentifizierung deaktiviert und fail2ban konfiguriert.
quelle
Versuchen Sie, Ihren sshd-Port auf 1000+ zu ändern. Fail2ban hilft auch.
Zum Beispiel habe ich einige Server, auf denen sshd auf 1919 oder 905 ausgeführt wird, und ich bekomme kaum diese chinesischen IPs, die versuchen, meine Server zu bruteforce.
quelle