Je viens de vérifier que mon serveur /var/log/auth.log et j'ai constaté que je recevais plus de 500 notifications d'échec de mot de passe ou de tentative d'intrusion par jour ! Mon site est petit, et son URL est obscure. Est-ce normal ? Devrais-je prendre des mesures ?
Réponses
Trop de publicités?
DMZwerg
Points
1
Utilice http://denyhosts.sourceforge.net/
et oui, vous devez utiliser l'authentification par clé publique et désactiver l'authentification par mot de passe.
Sean
Points
905
Les tentatives sont mécanisées, donc les chiffres semblent corrects (oui, ils sont élevés par rapport à certains sites et faibles par rapport à d'autres). Vous devez prendre les mesures que vous devez normalement prendre : Vous considérez vos sites comme des cibles d'attaque tous les jours, même lorsque vous ne détectez pas d'attaque ; ne pas détecter une attaque, ne signifie pas qu'elle n'existe pas .
James Schek
Points
181
Je dirais qu'obtenir seulement 500 est un peu faible.
Chez un précédent employeur, l'un des chercheurs en sécurité informatique qualifiait le flux constant de tentatives d'intrusion de "l'équivalent internet de l'échec d'un projet de recherche". bruit cosmique ". Il l'a décrit comme un flux normal et continu de trafic malveillant qui recherchait des systèmes sur Internet et exploitait automatiquement des scripts pour tenter de détourner le système. Les bot-nets et autres systèmes malveillants scannaient et rescannaient perpétuellement l'internet à la recherche de systèmes vulnérables, un peu comme le SETI.
Alex
Points
473
Oui,
c'est courant, mais ça ne veut pas dire que vous ne devez pas vous battre pour le bon combat. Voici quelques étapes à suivre pour rendre votre serveur plus sûr.
Éviter les adresses IP associées au DNS
Vous pouvez réduire considérablement ce nombre dans les environnements partagés ou en colocation en désactivant l'accès SSH sur toutes les adresses IP associées à des noms de domaine. Les adresses IP non-domaines non répertoriées recevront moins de ce type de trafic. Achetez donc une IP non répertoriée et utilisez-la uniquement pour l'accès SSH.
Utilisez un VPN pour tous les accès SSH
Si vous êtes dans un environnement dans lequel vous pouvez mettre en œuvre IPsec /VPN à un réseau privé dans votre environnement de serveur, c'est idéal. Désactivez tous les accès Internet SSH, assurez-vous d'avoir une solution intégrée d'extinction des feux. Configurez votre VPN et n'autorisez l'accès SSH qu'à partir de votre VPN.
Mettre en place des règles d'adresse IP pour l'accès SSH
Si le VLAN n'est pas une option, configurez votre routeur ou les règles du pare-feu pour n'autoriser les connexions SSH qu'à partir d'une plage d'adresses IP connue.
Si vous suivez ces étapes, vous dormirez beaucoup mieux la nuit en sachant que quelqu'un devra compromettre le réseau de votre société d'hébergement pour accéder au serveur par SSH.
babttz
Points
103
C'est assez normal de voir des centaines de connexions SSH échouer.
Si vous avez la possibilité, je change simplement mon port SSH pour quelque chose de non standard. Cela ne rend pas nécessairement votre serveur plus sûr, mais cela nettoie les journaux (et vous permet de voir si quelqu'un essaie délibérément de s'y introduire !)
