Pages : 1
#1 Le 20/02/2021, à 16:17
- Papik92
Tentatives d'intrusions SSH
Bonjour,
Derrière ma FreeBox, j'ai monté un petit serveur de tests. En principe, seul un ami, à quelques kilomètres de chez moi, y a accès.
Mais quand je regarde les statistiques
journalctl /usr/sbin/sshd --since today
après seulement 5 mn de démarrage, plus de 20 tentatives de connexions. Et ça continue en moyenne 3 tentatives par minute.
Les origines sont différentes : 117.222.94.74, 81.70.195.69, 157.245.143.128, 157.92.49.151, 106.53.117.149, 49.235.24.60, et bien d'autres...
Les noms d'utilisateurs utilisés sont : user1, profile1, MikroTik, default, ubnt, administrator, etc. Mais aussi root et admin.
Questions :
1) Suis-je le seul ? Et pourquoi mon serveur alors qu'il n'est référencé nulle part ?
2) Mon ami et moi n'utilisons ni "root" ni "admin" pour nous connecter. Aussi, pouvons nous interdire les connexions SSH via ces utilisateurs ?
3) Pouvons nous, devons nous signaler les IP intrusives ?
4) Quel est l'impact sur les performances du serveur ?
Hors ligne
#2 Le 20/02/2021, à 16:28
- MicP
Re : Tentatives d'intrusions SSH
Bonjour
Désactive l'authentification par mot de passe
et utilise l'authentification par clef
Hors ligne
#3 Le 20/02/2021, à 16:42
- beuguissime
Re : Tentatives d'intrusions SSH
Bonjour,
C'est le bruit de l'internet : des robots qui tentent des accès vers des adresses IP (au “hasard”) en utilisant des noms d'utilisateur qui ont une chance d'exister sur la machine cible (comme root, admin, etc).
En plus de suivre le conseil de MicP, tu pourrais installer fail2ban pour bannir (temporairement ou indéfiniment) les IP qui échoue N fois à ouvrir une connexion vers ton serveur.
Dernière modification par beuguissime (Le 20/02/2021, à 16:55)
Hors ligne
#4 Le 20/02/2021, à 16:47
- Nuliel
Re : Tentatives d'intrusions SSH
+1 à ce qui a été dit
Tu peux aussi utiliser ssh-audit pour voir si tu as bien configuré ssh.
Mais l'authentification par clé est réellement importante (et surtout désactiver l'authentification par mdp ainsi que l'authentification en tant que root)
Hors ligne
Pages : 1