Ubuntu-fr

Ledecotte

[sshd] Failed password for root from / Received disconnect from

Bonjour tout le monde,

J'ai découvert pas plus tard qu'hier l'existence du fichier /var/log/auth.log en voulant savoir si un ami s'était bien connecté à mon serveur pendant mon absence et j'ai pu voir apparaître certaines ligne qui m’inquiètent, et qui apparaissent très régulièrement:

sshd[24680]: Failed password fort root from *.***.***.*** port 60200 ssh2
sshd[24680]: Received disconnect from *.***.***.***: 11: Bye Bye [preauth]

J'ai ensuite fait un

resolveip

avec l'ip que je vous ai censuré pour voir qu'elle appartenait à h5-***-***-***.host.redstation.co.uk, puis en googlant je vois que c'est un site qui propose des serveurs.

Il n'y a pas que cette ip qui apparaît, plusieurs apparaissent parfois dans la même heure, à quelques minutes d'intervalles mais je n'arrive pas toujours à faire de resolveip dessus car l'ip est déconnectée.

Suite à ça j'ai donc plusieurs questions:

Ces lignes signifient-t-elles bien que je suis la cible d'une attaque ?

Si oui j'en déduis qu'elles n'ont pas abouties, mais quels sont les moyens de repérer une attaque qui aurait aboutie ?

Comment me protéger de ces attaques ? J'ai installé "fail2ban". Après, pour le configurer c'est autre chose, est-ce que je peux bannir définitivement une adresse ip ?

Aussi, est-ce que je peux bannir une adresse ip qui a échouée dès la première tentative de connexion ?