/ var / log entrées suspectes

8

Pour le plaisir, j'ai /var/log/auth.logsuivi (queue auth.log) et il y avait beaucoup des éléments suivants:

 sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]

L'IP semble provenir de Chine ...

J'ai ajouté la règle iptables pour bloquer l'ip et est maintenant parti.

Voyons maintenant ce qui suit:

 sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]

Quelles sont les deux entrées et que puis-je faire pour protéger ou voir dynamiquement les menaces.
J'ai fail2baninstallé.

Merci d'avance

networking  ssh  security 
user2625721
source
Avez-vous besoin que le sshport soit ouvert du côté public? Quelle a été la règle ajoutée iptables? Une sshexposition au public va générer beaucoup de hits provenant de renifleurs de ports et de crackbots, ce qui peut être la cause des entrées que vous voyez maintenant.
douggro
Le serveur est hébergé chez Linode.com, je ssh à la boîte pour gérer, changer et tout faire, j'ai donc besoin de ssh pour l'instant. J'ai ajouté une règle iptables pour bloquer l'adresse / 24 de la Chine. Mais je dois être plus sûr et ne pas trop me soucier des pirates.
user2625721
1
Vous pouvez utiliser un paramètre de seuil très bas fail2banpour les sshconnexions échouées - 2 ou 3 échecs avant l'interdiction - avec un court délai d'interdiction (10-15 minutes) pour décourager les crackbots mais pas trop longtemps pour vous laisser verrouillé si vous cochez une connexion tentative.
douggro

Réponses:

1

Avez-vous besoin d'accéder à cet hôte à partir de plusieurs emplacements? Ou pouvez-vous utiliser un jumpbox qui a une adresse IP statique? Si tel est le cas, vous pouvez définir une règle iptables qui n'autorise l'accès SSH qu'à une ou plusieurs adresses IP spécifiques. Cela vous donnera un refus implicite à quiconque, sauf les adresses IP statiques.

Les autres recommandations seraient de changer le service pour écouter sur un port non standard, désactiver l'authentification racine et configurer fail2ban.

Enefbee
source
0

Essayez de changer votre port sshd en 1000+. Fail2ban aide aussi.

Par exemple, j'ai des serveurs exécutant sshd en 1919 ou 905 et j'obtiens à peine ces adresses IP chinoises essayant de forcer mes serveurs.

Kriev
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.