Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 20/02/2021, à 16:17

Papik92

Tentatives d'intrusions SSH

Bonjour,

Derrière ma FreeBox, j'ai monté un petit serveur de tests. En principe, seul un ami, à quelques kilomètres de chez moi, y a accès.
Mais quand je regarde les statistiques

journalctl /usr/sbin/sshd --since today

après seulement 5 mn de démarrage, plus de 20 tentatives de connexions. Et ça continue en moyenne 3 tentatives par minute.
Les origines sont différentes : 117.222.94.74, 81.70.195.69, 157.245.143.128, 157.92.49.151, 106.53.117.149, 49.235.24.60, et bien d'autres...
Les noms d'utilisateurs utilisés sont : user1, profile1, MikroTik, default, ubnt, administrator, etc. Mais aussi root et admin

Questions :
1) Suis-je le seul ? Et pourquoi mon serveur alors qu'il n'est référencé nulle part ?
2) Mon ami et moi n'utilisons ni "root" ni "admin" pour nous connecter. Aussi, pouvons nous interdire les connexions SSH via ces utilisateurs ?
3) Pouvons nous, devons nous signaler les IP intrusives ?
4) Quel est l'impact sur les performances du serveur ?

Hors ligne

#2 Le 20/02/2021, à 16:28

MicP

Re : Tentatives d'intrusions SSH

Bonjour

Désactive l'authentification par mot de passe
et utilise l'authentification par clef

Hors ligne

#3 Le 20/02/2021, à 16:42

beuguissime

Re : Tentatives d'intrusions SSH

Bonjour,

C'est le bruit de l'internet : des robots qui tentent des accès vers des adresses IP (au “hasard”) en utilisant des noms d'utilisateur qui ont une chance d'exister sur la machine cible (comme root, admin, etc).
En plus de suivre le conseil de MicP, tu pourrais installer fail2ban pour bannir (temporairement ou indéfiniment) les IP qui échoue N fois à ouvrir une connexion vers ton serveur.

Dernière modification par beuguissime (Le 20/02/2021, à 16:55)

Hors ligne

#4 Le 20/02/2021, à 16:47

Nuliel

Re : Tentatives d'intrusions SSH

+1 à ce qui a été dit
Tu peux aussi utiliser ssh-audit pour voir si tu as bien configuré ssh.
Mais l'authentification par clé est réellement importante (et surtout désactiver l'authentification par mdp ainsi que l'authentification en tant que root)

Hors ligne