Untuk kesenangan saya mengekor /var/log/auth.log(tail auth.log) dan ada banyak hal berikut ini:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
IP tampaknya berasal dari Cina ...
Saya menambahkan aturan iptables untuk memblokir ip dan sekarang hilang.
Sekarang melihat yang berikut:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
Entri apa dan apa yang bisa saya lakukan untuk melindungi atau melihat ancaman secara dinamis.
Saya sudah fail2banmenginstal.
Terima kasih sebelumnya
networking
ssh
security
pengguna2625721
sumber
sumber
sshport terbuka di sisi publik? Apa aturan yang ditambahkaniptables? Setelahsshterkena sisi publik akan menghasilkan banyak hit dari sniffer port dan crackbots, yang mungkin menjadi penyebab entri yang Anda lihat sekarang.fail2banuntuksshmasuk yang gagal - 2 atau 3 gagal sebelum pelarangan - dengan waktu larangan yang singkat (10-15 menit) untuk mencegah crackbot tetapi tidak terlalu lama untuk membuat Anda terkunci jika Anda masuk dengan login mencoba.Jawaban:
Apakah Anda memerlukan akses ke host ini dari beberapa lokasi? Atau bisakah Anda menggunakan jumpbox yang memiliki IP statis? Jika demikian, Anda dapat menetapkan aturan iptables yang hanya memungkinkan akses SSH ke IP tertentu. Ini akan memberi Anda penolakan implisit kepada siapa pun kecuali IP statis.
Rekomendasi lain adalah mengubah layanan untuk mendengarkan pada port non-standar, menonaktifkan otentikasi root, dan mengkonfigurasi fail2ban.
sumber
Coba ubah port sshd Anda menjadi 1000+. Fail2ban juga membantu.
Sebagai contoh saya memiliki beberapa server yang menjalankan sshd pada tahun 1919 atau 905 dan saya hampir tidak mendapatkan IP Cina ini mencoba untuk memaksa server saya.
sumber