Auf der Suche nach Log-Dateien bin ich auc die Auth.log gestoßen.
in der Datei Auth.log (/var/log/ bei lmn7) kann man sehen wer versucht hat sich auf dem Server per ssh einzuloggen.
Seit der Server online ist bekommt er zahlreiche „Anfragen“:
Jedes mal einen anderen User, andere IP-Adresse und anderen Port.
Ist das in der Menge normal (etwa 17 Versuche pro Stunde)? Kann ich etwas dagegen machen?
Diese Anzahl von Verbindungen habe ich immer, es ist nervig.
Ich habe bei mir GeoIp-Filterung aktiviert ( erlaubt nur Verbindungen aus Deutschland, Frankreich und Schweiz ), und fail2ban, damit gibt es ein bisschen Ruhe.
Hi. Also fail2ban bringt ne ganze Menge – und noch mehr bringt es, den externen Port nicht auf 22 sondern auf etwas anderes zu legen. Damit fliegen schon 99% der automatischen Versuche raus. Zudem sollte ssh natürlich nur per public_key erreichbar sein und für Logins mit Passwort gesperrt werden.
Schöne Grüße,
Michael
Stimmt, das habe ich vergessen, ich gehe immer davon aus, dass alle es automatisch einsetzen !
Auch kein root login, oder SSH nur erreichbar von bestimmten IPs ( Parameter "Match Address in /etc/ssh/sshd_config ).
Ist Euer Server wirklich direkt von außen über ssh erreichbar??? Das
scheint mir etwas gefährlich.
Ich hab nach außen nur den openVPN-Port auf.
da der Login per ssh nur mit ssh-keys erlaubt ist, bekommen die script
kiddies nach dem ersten Versuch die Meldung „Password authentication not
supportet“ … dann ziehen die direkt weiter und lassen mich in Ruhe.