Podezrele zaznamy z logu auth.log
Dobry den,
pokud se podivam do logu auth.log, vidim tam:
Jun 22 18:26:25 * sshd[4438]: Failed password for invalid user archana from 123.58.5.243 port 58044 ssh2
Jun 22 18:26:36 * sshd[4442]: Failed password for invalid user ftpuser from 52.188.114.3 port 48754 ssh2
Jun 22 18:27:10 * sshd[4455]: Failed password for invalid user t from 104.248.45.204 port 33560 ssh2
… a mnoho a mnoho dalsiho ….
prakticky kazdych nekoli sekund je tam pokus o prihlaseni s nejakym nahodnym uzivatelem. Je normali aby ty servery byli pod takovym utokem?
1 Odpověď
Dobrý den,
VPS je potřeba si zabezpečit, IP adresa je veřejný údaj a na tu se může připojit každý, proto je vhodné zabezpečit si VPS pomocí iptables a zablokovat provoz na ssh, ftp aj. z nevyžádaných IP adress, obvykle stačí pokud si nastavíte svou domácí IP adresu se kterou bude VPS výhradně komunikovat na admin (root) úrovni.
V případě, že by došlo k blokaci z naší strany, může se stát, že odfiltrujeme více než polovinu žádaného provozu, jelikož útoky často chodí z nezabezepčených hotelových sítí, či počítačů domácích uživatelů, které byly napadeny.
K zabezpečení můžete využít například této presentace:
https://www.petrkrcmar.cz/prednasky/Zabezpeceni_serveru_2013.pdf