Primeiro de tudo, não entre em pânico. Verifique se algum login real ocorreu.
Se tiver, pânico.
Se não, tudo ainda é normal. Há muitas máquinas por aí tentando usar combinações comuns de usuário / senha e vulnerabilidades de segurança em todas as máquinas que podem encontrar, a fim de roubar dados ou tornar a botnet maior.
Como tal, as tentativas de login em si não são realmente surpreendentes, apenas algo com que você precisa lidar. Então, como você pode tornar sua máquina mais segura?
Siga as melhores práticas recomendadas para o seu software
Estes variam por software. Para o SSH, as coisas mais comuns são:
- desabilitar o login raiz
- desativa a autenticação do teclado
Cada script tentará fazer o login com nomes de usuários como root, usuário, guest, backup, monitoramento, nagios, icinga, veeam etc. Há listas de nomes comuns por aí e os scripts passam por todos eles. Um segundo do googling revelou este , por exemplo. Use um nome de usuário que não esteja na sua lista, como, por exemplo, seu nome real.
Usar apenas chaves SSH para fazer login também torna o brute forçar a senha praticamente impossível.
Apenas exponha os serviços necessários à internet
Um serviço que não pode ser acessado pela Internet não pode ser atacado pela Internet. Se você tem um servidor de banco de dados em sua máquina, mas só precisa internamente, não há motivo para expor a porta para o exterior. Se outras máquinas precisarem acessá-lo via internet, permita explicitamente esses IPs. Na verdade, você deve abandonar todo o tráfego por padrão e abrir apenas as portas especificamente necessárias, como 80 ou 22.
Veja aqui um exemplo de configuração do iptables: Usar ACCEPT e DROP para um par de porta / ip específico permite o ip mas nada mais nessa porta?
Limite de taxa de implementação
Especialmente nos serviços em que você pode fazer login, você deve instalar alguma forma de limitar a taxa. Se um determinado número de tentativas de login malsucedidas tiver ocorrido, esse IP deverá ser bloqueado. O software mais usado para o Linux para conseguir isso é provavelmente o fail2ban. Tem predefinições para todos os tipos de software, e você pode simplesmente ativá-lo e ter alguma paz de espírito.
Alterar portas padrão
Isso geralmente não é considerado a melhor prática , principalmente porque precisa ser comunicado ao restante da organização que, por exemplo, o SSH agora é a porta 56298, em vez das 22 conhecidas. As portas abertas também podem ser ser detectado com varreduras de portas. No entanto, as tentativas de login automatizadas na porta 22 ocorrem com mais frequência que as varreduras de porta. Os scripts de ataque mais simples simplesmente falharão se você fizer isso. Não ajuda contra um invasor dedicado.