Tentativi di connessione SSH da parte esterni

[Ancalagon]

Salve a tutti, ho notato che negli ultimi giorni il mio log auth si sta riempiendo in maniera minacciosa. Andando a spulciare ho trovato due IP che ogni tot continuano a tentare di collegarsi tramite SSH. Secondo voi dovrei preoccuparmi? Di mio direi blocca l'IP dei due curiosoni. Avete consigli a riguardo? Io uso la connessione SSH per il controllo remoto almeno 3 volte a settimana quindi dovrei per forza di cose bloccare i loro IP e basta altrimenti non sarei in grado di collegarmi =). Posso usare iptables per bloccare l'accesso a questi due IP (sembrano statici)?

[DoctorStrange]

Tutto dipende da che genere di IP questi siano.

Hai provato a fare una ricerca su internet che non siano magari IP usati il locale dalla tua stessa macchina, magari per qualche sorta di servizio loopback?

Se i sospetti sono confermati bloccali, sia sul router che sul tuo pi tables, fai un drop di tutte le connessioni provenienti da quei due soli IP e dovresti aver risolto il problema.

Però se sospetti che sia un qualche genere di attacco, magari chi ti attacca si potrebbe insospettire se trova sempre le porte chiuse, magari un chroot al sistema potrebbe risolverti il problema in maniera più efficace.

[Pike]

fail2ban no, eh?

[pachisapiu]

fail2ban no, eh?

e cambia anche la porta ssh

[Ancalagon]

Io uso i servizi free di noip e sinceramente non so se questo potrebbe centrare, indubbiamente il mio ip pubblico è diverso da questi due che continuano a tartassare la mia rete. I due IP sono cinesi a voler credere a ciò che sono riuscito a recuperare. Cosa mi consigliate quindi, cambiare porta ssh, bloccare tramite iptable o fail2ban (che trovo a prima vista più complicate di iptables) e chroot (scusate ma non ho imparato tutto, cosa dovrei fare con chroot)?

[DoctorStrange]

Lascia stare chroot, credo di aver sbagliato io e non credo possa risolvere il tuo problema. Chiedo scusa.

Per bloccare quei due indirizzi tramite una regola di IPTables, puoi provare a seguire questa guida.

[axilot]

io cambierei anche hostname, se hai un ip dinamico e continuano a tentare di collegarsi devono avere il tuo hostname di noip.
Altrimenti basta riavviare il modem per farsi assegnare un ip diverso.

[Pike]

Se si vuole tenere esposto SSH in porta standard i rischi quelli sono, a parte di usare un certificato (rende più complicato il login) oppure un sistema di protezione dai brute force.

[pachisapiu]

i soliti pirlotti usano degli script che fanno scansione su vari range di IP ma sempre sulla porta di default (la 22) , cambiando porta vedrai (dai log) che i tentativi smettono , ma per sicurezza installa anche fail2ban

[stonygate]

io oltre a fail2ban uso psad! cambiando porta alcuni programmi danno problemi, io l'ho fatto in passato e per disperazione ho rimesso le porte standard, per aumentare la sicurezza uso anche google-authenticator oltre alla pass.

[Pike]

Che miglioramento ti ha dato aggiungere psad al tuo toolkit di protezione?

[stonygate]

blocca subito i tentativi da parte di terzi di trovare porte aperte del mio server. A patto naturalmente di aver configurato alla perfezione il firewall!