Recogiendo una gran cantidad de autenticaciones fallidas para varias counts

Mi server está recibiendo una gran cantidad de varios bashs fallidos de authentication para varias counts. El más común (que he visto) o la count root .

Desde entonces he habilitado Fail2Ban y he ejecutado varias comprobaciones de rootkit / malware para asegurar que no estaba comprometida. ¿Hay algo más que debo hacer? Sólo tengo tres counts habilitadas, y acceso SSH para sólo dos. Tengo una prohibición total de 48 horas en cualquier persona haciendo más de seis bashs fallidos de inicio de session de SSH. No tengo FTP activado.

si está utilizando pares de keys públicas / privadas, no tiene casi nada de qué preocuparse, con los bashs de inicio de session de fuerza bruta. si tiene la authentication de contraseña deshabilitada, es decir.

puede ejecutar ssh en un puerto no estándar, como 2222 pero en poco time, comenzará a ver los bashs en esos puertos, también, ya que muchos de los botnets también ejecutan escáneres de puertos.

otra cosa que se puede mirar en la creación es el puerto de golpeo, que es un dolor, pero se bloquea ssh sólo a las personas que emiten el adecuado "knock", http://en.wikipedia.org/wiki/Port_knocking

Deshabilite la authentication de passwords y los inicios de session raíz al agregar / cambiar las siguientes líneas en su file sshd_config (normalmente ubicado en / etc / ssh / sshd_config)

 PasswordAuthentication no PermitRootLogin no 

Lo que estás viendo es normal – ha estado sucediendo en la Internet abierta desde hace años y nunca se detendrá.

Usted necesitará conseguir la autorización de la llave pública resuelta antes de apagar las passwords, si usted no ha hecho esto ya.

Consigo ésos todo el time, nunca terminan. Lo mejor es sólo para asegurarse de que no están utilizando counts genéricas que tienen passwords genéricas.

También uso fail2ban, y ha funcionado bien. (Pero la mayoría de las veces, me golpean todos los anfitriones diferentes, por lo que no ayuda demasiado)