Per divertimento ho messo la coda /var/log/auth.log(tail auth.log) e c'erano molti dei seguenti:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
L'ip sembra provenire dalla Cina ...
Ho aggiunto la regola iptables per bloccare l'ip e ora non c'è più.
Ora vedendo quanto segue:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
Cosa sono entrambe le voci e cosa posso fare per proteggere o vedere dinamicamente le minacce.
Ho fail2baninstallato.
Grazie in anticipo
Il server è ospitato su Linode.com, ho SSH nella casella per gestire, cambiare e fare tutto, quindi per ora ho bisogno di SSH. Ho aggiunto una regola iptables per bloccare l'indirizzo / 24 dalla Cina. Ma devo essere più sicuro e non preoccuparmi così tanto degli hacker.
—
user2625721
È possibile utilizzare un'impostazione di soglia molto bassa
—
Douggro,
fail2banper sshaccessi non riusciti - 2 o 3 non riesce prima di vietare - con un breve periodo di divieto (10-15 minuti) per scoraggiare i crackbot ma non troppo a lungo per lasciarti bloccato se si effettua il login tentativo.
sshporta sia aperta sul lato pubblico? In che cosa è stata aggiunta la regolaiptables? Esseresshesposti al pubblico genererà molti hit da port sniffer e crackbot, che potrebbero essere la causa delle voci che stai vedendo ora.