Por coincidência, olhei para o log ssh dos meus servidores (/var/log/auth.log) e notei que alguém está constantemente tentando obter acesso:
Sep 7 13:03:45 virt01 sshd[14674]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.42 user=root
Sep 7 13:03:48 virt01 sshd[14674]: Failed password for root from 116.31.116.42 port 13423 ssh2
Sep 7 13:03:52 virt01 sshd[14674]: message repeated 2 times: [ Failed password for root from 116.31.116.42 port 13423 ssh2]
Sep 7 13:03:52 virt01 sshd[14674]: Received disconnect from 116.31.116.42: 11: [preauth]
Isso acontece algumas vezes a cada minuto e vem acontecendo há muito tempo sem que eu saiba.
Pergunta Devo me preocupar com isso, se sim: O que devo fazer a respeito?
Infelizmente, isso é absolutamente normal e algo que todo servidor SSH experimenta. Bem-vindo à internet.
Contanto que você proteja adequadamente seu servidor (por exemplo, mantenha-o atualizado, permita apenas o login baseado em chave, desabilite o acesso root SSH), isso não deve ser um problema, mas você pode limitar isso ainda mais com algo como
fail2ban
e outras abordagens como IP lista de permissões, alteração de portas e coisas assim sempre que possível e apropriado.Desabilitar logins root . Adicione isso a
/etc/ssh/sshd_config
Apenas deixe-os martelar na raiz o quanto quiserem. Eles nunca entrarão dessa maneira então.
Além de proteger o servidor, como Sven aponta, uma das melhores coisas a fazer (especialmente se o ssh estiver lá apenas para você, o administrador) é apenas alterar a porta sshd padrão
22
.Não é apenas simples (especialmente quando você coloca uma nova porta no seu
~/.ssh/config
para não precisar digitá-la toda vez) e interrompe 99% dessas verificações automatizadas para que você nem as veja, mas também ajuda um pouco mesmo se alguma vulnerabilidade ssh de 0 dias for descoberta para lhe dar mais tempo, ou sua chave vazar, etc.Este comportamento bastante normal. Recebo vários milhares deles todos os dias e presumo que mesmo isso seja minúsculo em comparação com o que as grandes empresas enfrentam.
Mas você precisa se preocupar?
fail2ban
?Se sim, então você não precisa se preocupar. Esses ataques são geralmente ataques baseados em dicionário em nomes de usuários unix comuns. Por exemplo, frequentemente vejo esses "usuários" tentando fazer login:
Eu realmente recomendo instalar
fail2ban
o , pois limitará a taxa de qualquer usuário que tentar fazer login com base em seu ip, que por si só deve filtrar a maior parte do tráfego malicioso. Ao contrário do que outros dizem, não sou um defensor do bloqueio baseado em IP. Isso parece uma solução muito grosseira para um problema muito delicado. Além disso, esses invasores geralmente controlam vários ips, portanto, mesmo que você bloqueie vários (ou mesmo vários blocos de ip), não há garantia de que você bloqueará todos eles. No entanto, o Fail2ban é muito flexível para esses cenários.