Récemment, quelques amis et moi avons eu une idée pour une application. Pour faciliter sa création, nous avons configuré LAMP sur un serveur Ubuntu 12.04. Cette boîte est en cours d'exécution de chez moi. Nous avons configuré 3 comptes d'utilisateurs. Je suis encore relativement nouveau sur Linux, mais je connais un peu l’utilisation d’Ubuntu sur ma propre machine.
Aujourd'hui, je m'amusais avec SSH et examinais les journaux (je dois apprendre à lire ces informations pour savoir comment le serveur fonctionne, n'est-ce pas?) Et j'ai vu la chose la plus étrange.
Dans /var/log/auth.log et /var/log/auth.log.1, j'ai vu un tas de tentatives de connexion infructueuses pour 'root' et quelques noms d'utilisateur que je ne connais pas bien. J'ai regardé par-dessus eux et pour autant que je puisse voir, aucun utilisateur n'a été authentifié à l'exception des utilisateurs réels sur le système. Un grand nombre des adresses IP répertoriées semblent provenir de Russie.
Pour le moment, ce serveur ne contient rien d'autre qu'un serveur Vanilla Ubuntu avec LAMP, mais malgré cela, avec la commande suivante:
Sudo grep -i fail /var/log/auth.log | wc -l
Je reçois 3412 à la suite. Cela semble très excessif pour un serveur qui est en place depuis le 8 avril. Cela empire, car l'exécution de la commande ci-dessus sur auth.log.1 renvoie 23075 (!!!!) résultats.
Il semble évident que des personnes tentent de s'introduire sur le serveur. Non pas qu'elle contienne quelque chose de valeur, mais une fois que nous avons commencé à faire des progrès sur l'application, nous ne voudrions plus que notre propriété intellectuelle soit volée.
Devrais-je m'inquiéter? Et que puis-je faire à ce sujet?
EDIT:
J'ai trouvé des informations très utiles ici et cela m'a permis d'exécuter un script qui divise et trie tous les mots de passe non valides et les utilisateurs non valides ayant tenté de se connecter. Peut être utile pour quelqu'un qui s'est retrouvé ici par le biais Google!
Cela se passe beaucoup pour moi aussi. Il y a beaucoup de script kiddies qui tentent des attaques en force brute contre votre serveur SSH.
Ma solution jusqu’à maintenant consistait à installer DenyHosts , mais il semble que cela ne sera pas pris en charge en 14.04; la prochaine meilleure solution semble être Fail2Ban . Liens et plus d'informations dans Le paquet denyhosts dans Ubuntu Trusty Tahr est supprimé: temporaire ou permanent?
Dans cette réponse, bodhi.zazen a pointé vers cette page hautement recommandée: http://bodhizazen.com/Tutorials/SSH_security