Для розваги я /var/log/auth.logхвостився (хвіст auth.log), і було багато наступного:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
Здається, ip з Китаю ...
Я додав правило iptables для блокування ip і тепер його немає.
Зараз бачимо таке:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
Що таке записи, і що я можу зробити, щоб захистити або динамічно побачити загрози.
Я fail2banвстановив.
Спасибі заздалегідь
Сервер розміщений на Linode.com, я сшу до вікна, щоб керувати, змінювати та робити все, тому мені потрібен ssh зараз. Я додав правило iptables для блокування адреси / 24 з Китаю. Але мені потрібно бути більш захищеним і не турбуватися про хакерів так сильно.
—
користувач2625721
Ви можете використовувати налаштування з низьким пороговим рівнем
—
douggro
fail2banдля невдалої sshреєстрації - 2 або 3 помилки перед забороною - з коротким часом заборони (10-15 хвилин), щоб відмовити кракботів, але не надто довго, щоб не залишати вас заблокованими, якщо ви підключите вхід спроба.
sshпорт, відкритий на загальнодоступній стороні? До чого було додано правилоiptables? Опинившисьsshна загальнодоступній стороні, ви отримаєте безліч звернень від понюхань портів та кракботів, що може бути причиною записів, які ви зараз бачите.