/var/log подозрительные записи
Для забавы я выследил /var/log/auth.log (хвост auth.log) и были многие из следующего:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
IP, кажется, из Китая...
Я добавил правило iptables заблокировать IP и теперь ушел.
Теперь наблюдение следующего:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
Что является оба записями и что может я делать, чтобы защитить или динамично видеть угрозы.
Я действительно имею fail2ban установленный.
Заранее спасибо
2 ответа
Вам нужен доступ к этому хосту от нескольких местоположений? Или можно ли использовать jumpbox, который имеет статический IP? Если это верно, можно установить iptables правило, которое только предоставляет доступ SSH к определенному IP. Это даст, Вы неявный отклоняете любому кроме статического дюйм/с
, другие рекомендации состояли бы в том, чтобы изменить сервис послушать на нестандартном порте, отключить корневую аутентификацию и настроить fail2ban.
Попытайтесь изменить свой sshd порт на 1 000 +. Fail2ban помогает также.
, Например, у меня есть некоторые серверы, работающие sshd на 1919 или 905, и я едва добираюсь эти китайская попытка дюйм/с до "в лоб" мои серверы.