Massive ssh-Verbindungsversuche von Außen

Jean-Francois · 9. Januar 2020 um 16:37

Hallo,

Auf der Suche nach Log-Dateien bin ich auc die Auth.log gestoßen.
in der Datei Auth.log (/var/log/ bei lmn7) kann man sehen wer versucht hat sich auf dem Server per ssh einzuloggen.

Seit der Server online ist bekommt er zahlreiche „Anfragen“:

Jedes mal einen anderen User, andere IP-Adresse und anderen Port.

Ist das in der Menge normal (etwa 17 Versuche pro Stunde)? Kann ich etwas dagegen machen?

Grüße,

Jean-Francois

Arnaud · 9. Januar 2020 um 16:46

Salut Jean-Francois,

Diese Anzahl von Verbindungen habe ich immer, es ist nervig.
Ich habe bei mir GeoIp-Filterung aktiviert ( erlaubt nur Verbindungen aus Deutschland, Frankreich und Schweiz ), und fail2ban, damit gibt es ein bisschen Ruhe.

Gruß

Arnaud

Markus.G · 9. Januar 2020 um 16:57

Hallo Leute!

Ist Euer Server wirklich direkt von außen über ssh erreichbar??? Das scheint mir etwas gefährlich.
Ich hab nach außen nur den openVPN-Port auf.

Grüße
Markus

Michael · 9. Januar 2020 um 17:03

Hi. Also fail2ban bringt ne ganze Menge – und noch mehr bringt es, den externen Port nicht auf 22 sondern auf etwas anderes zu legen. Damit fliegen schon 99% der automatischen Versuche raus. Zudem sollte ssh natürlich nur per public_key erreichbar sein und für Logins mit Passwort gesperrt werden.
Schöne Grüße,
Michael

Arnaud · 9. Januar 2020 um 17:26

Hallo Michael,

Stimmt, das habe ich vergessen, ich gehe immer davon aus, dass alle es automatisch einsetzen !
Auch kein root login, oder SSH nur erreichbar von bestimmten IPs ( Parameter "Match Address in /etc/ssh/sshd_config ).

Gruß

Arnaud

baumhof · 9. Januar 2020 um 17:32

Hallo Markus,

Ist Euer Server wirklich direkt von außen über ssh erreichbar??? Das
scheint mir etwas gefährlich.
Ich hab nach außen nur den openVPN-Port auf.

da der Login per ssh nur mit ssh-keys erlaubt ist, bekommen die script
kiddies nach dem ersten Versuch die Meldung „Password authentication not
supportet“ … dann ziehen die direkt weiter und lassen mich in Ruhe.

LG

Holger

Jean-Francois · 9. Januar 2020 um 19:13

Hallo zusammen,

Das habe ich schon.

Genau das fehlt mir! Danke.

Ich mache oft einen Tunnel über ssh um von zu Hause zugriff auf die Schulkonsole zu haben. Das würde weiterhin funktionieren oder?

Grüße,

Jean-Francois

baumhof · 9. Januar 2020 um 20:38

Hallo,

Zudem sollte ssh natürlich nur per public_key erreichbar sein und
für Logins mit Passwort gesperrt werden
Genau das fehlt mir! Danke.

Ich mache oft einen Tunnel über ssh um von zu Hause zugriff auf die
Schulkonsole zu haben. Das würde weiterhin funktionieren oder?

… ja: auch mehrere.
Ich hab im Schnitt so um die 20 Tunnel, wenn ich eine ssh Sitzung auf
mache: alle sind per key gesichert.

LG

Holger