Par coïncidence, j'ai regardé le journal ssh de mes serveurs (/var/log/auth.log) et j'ai remarqué que quelqu'un essayait constamment d'accéder:
Sep 7 13:03:45 virt01 sshd[14674]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.42 user=root
Sep 7 13:03:48 virt01 sshd[14674]: Failed password for root from 116.31.116.42 port 13423 ssh2
Sep 7 13:03:52 virt01 sshd[14674]: message repeated 2 times: [ Failed password for root from 116.31.116.42 port 13423 ssh2]
Sep 7 13:03:52 virt01 sshd[14674]: Received disconnect from 116.31.116.42: 11: [preauth]
Cela se produit plusieurs fois par minute et dure depuis longtemps sans que je le sache.
Question Dois-je m'en préoccuper, si oui: que dois-je faire?
Malheureusement, c'est absolument normal et quelque chose que chaque serveur SSH connaît. Bienvenue sur Internet.
Tant que vous sécurisez correctement votre serveur (par exemple, maintenez-le à jour, autorisez uniquement la connexion par clé, désactivez l'accès SSH racine), cela ne devrait pas être un problème, mais vous pouvez limiter cela encore plus avec quelque chose comme fail2ban
et d'autres approches comme la liste blanche IP, la modification des ports et des trucs comme celui-ci lorsque cela est possible et approprié.
Désactiver les connexions root . Ajoutez ceci à /etc/ssh/sshd_config
PermitRootLogin no
Laissez-les marteler à la racine tout ce qu'ils veulent. Ils n'arriveront jamais ainsi.
En plus de sécuriser le serveur comme le souligne Sven, l'une des meilleures choses à faire (surtout si ssh est là pour vous, l'administrateur) est simplement de changer le port sshd par défaut 22
.
Non seulement c'est simple (surtout lorsque vous mettez un nouveau port dans votre ~/.ssh/config
pour que vous n'ayez pas à le taper à chaque fois) et cela arrêtera 99% de ces analyses automatisées de sorte que vous ne les verrez même pas, mais cela vous aidera également quelque peu même si une vulnérabilité ssh de 0 jour est découverte pour donner vous plus de temps, ou votre clé a fui, etc.
Ce comportement assez normal. J'en reçois plusieurs milliers chaque jour, et je suppose même que c'est minuscule par rapport à ce que les grandes entreprises font face.
Mais avez-vous besoin de vous inquiéter?
fail2ban
?Si oui, alors vous n'avez pas à vous inquiéter. Ces attaques sont généralement des attaques par dictionnaire sur les noms d'utilisateur Unix courants. Par exemple, je vois souvent ces "utilisateurs" essayer de se connecter:
Je vraiment recommande d'installer fail2ban
, car il limitera le taux de tout utilisateur essayant de se connecter en fonction de son adresse IP, cela seul devrait filtrer la plupart du trafic malveillant. Contrairement à ce que disent les autres, je ne suis pas un partisan du blocage basé sur IP. Cela semble être une solution très grossière à un problème très fin. De plus, ces attaquants contrôlent généralement plusieurs IPS, donc même si vous en bloquez plusieurs (ou même plusieurs IP), il n'y a aucune garantie que vous les bloquerez tous. Fail2ban est cependant très flexible pour ces scénarios.