Ubuntu-fr

Papik92

Tentatives d'intrusions SSH

Bonjour,

Derrière ma FreeBox, j'ai monté un petit serveur de tests. En principe, seul un ami, à quelques kilomètres de chez moi, y a accès.
Mais quand je regarde les statistiques

journalctl /usr/sbin/sshd --since today

après seulement 5 mn de démarrage, plus de 20 tentatives de connexions. Et ça continue en moyenne 3 tentatives par minute.
Les origines sont différentes : 117.222.94.74, 81.70.195.69, 157.245.143.128, 157.92.49.151, 106.53.117.149, 49.235.24.60, et bien d'autres...
Les noms d'utilisateurs utilisés sont : user1, profile1, MikroTik, default, ubnt, administrator, etc. Mais aussi root et admin. 

Questions :
1) Suis-je le seul ? Et pourquoi mon serveur alors qu'il n'est référencé nulle part ?
2) Mon ami et moi n'utilisons ni "root" ni "admin" pour nous connecter. Aussi, pouvons nous interdire les connexions SSH via ces utilisateurs ?
3) Pouvons nous, devons nous signaler les IP intrusives ?
4) Quel est l'impact sur les performances du serveur ?

MicP

Re : Tentatives d'intrusions SSH

Bonjour

Désactive l'authentification par mot de passe
et utilise l'authentification par clef

beuguissime

Re : Tentatives d'intrusions SSH

Bonjour,

C'est le bruit de l'internet : des robots qui tentent des accès vers des adresses IP (au “hasard”) en utilisant des noms d'utilisateur qui ont une chance d'exister sur la machine cible (comme root, admin, etc).
En plus de suivre le conseil de MicP, tu pourrais installer fail2ban pour bannir (temporairement ou indéfiniment) les IP qui échoue N fois à ouvrir une connexion vers ton serveur.

Dernière modification par beuguissime (Le 20/02/2021, à 17:55)

Nuliel

Re : Tentatives d'intrusions SSH

+1 à ce qui a été dit
Tu peux aussi utiliser ssh-audit pour voir si tu as bien configuré ssh.
Mais l'authentification par clé est réellement importante (et surtout désactiver l'authentification par mdp ainsi que l'authentification en tant que root)

---

[ poster un retour de commande ] [ poster une photo ]