Por diversión, seguí /var/log/auth.log(tail auth.log) y había muchos de los siguientes:
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
La ip parece ser de China ...
Agregué la regla de iptables para bloquear la ip y ahora se ha ido.
Ahora viendo lo siguiente:
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
¿Qué son ambas entradas y qué puedo hacer para proteger o ver dinámicamente las amenazas?
Yo tengo fail2baninstalado.
Gracias por adelantado
El servidor está alojado en Linode.com, me dirijo a la caja para administrar, cambiar y hacer todo, así que necesito ssh por ahora. Agregué una regla de iptables para bloquear la dirección / 24 de China. Pero necesito estar más seguro y no preocuparme tanto por los hackers.
—
user2625721
Puede usar una configuración de umbral muy bajo
—
douggro
fail2banpara sshinicios de sesión fallidos (2 o 3 fallan antes de la prohibición) con un tiempo de prohibición breve (10-15 minutos) para desalentar a los crackbots, pero no demasiado tiempo para dejarlo bloqueado si bloquea un inicio de sesión intento.
sshpuerto abierto en el lado público? ¿En qué se agregó la reglaiptables? Exponersessha la parte pública generará muchos éxitos de rastreadores de puertos y crackbots, lo que puede ser la causa de las entradas que está viendo ahora.