Por diversão, ativei /var/log/auth.log (tail auth.log) e havia muitos dos seguintes:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
O ip parece ser da China ...
Eu adicionei a regra iptables para bloquear o ip e agora desapareceu.
Agora, veja o seguinte:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
Quais são as duas entradas e o que posso fazer para proteger ou ver dinamicamente as ameaças.
Eu tenho fail2ban instalado.
Obrigado antecipadamente
Você precisa de acesso a esse host de vários locais? Ou você pode usar uma caixa de salto que tenha um IP estático? Se este for o caso, você pode definir uma regra de iptables que permita apenas o acesso SSH a um IP específico. Isso lhe dará negação implícita a qualquer pessoa, exceto os IPs estáticos.
As outras recomendações seriam alterar o serviço para escutar em uma porta não padrão, desativar a autenticação raiz e configurar o fail2ban.
Tente alterar sua porta sshd para 1000+. O Fail2ban também ajuda.
Por exemplo, eu tenho alguns servidores rodando o sshd em 1919 ou 905 e mal consigo esses IPs chineses tentando usar a força bruta dos meus servidores.
Tags ssh networking security