재미를 위해 나는 /var/log/auth.log꼬리를 두르고 (꼬리 auth.log) 다음과 같은 많은 것들이있었습니다.
sshd[16225]: Received disconnect from 203.100.83.32: 11: Bye Bye [preauth]
IP는 중국에서 온 것 같습니다 …
iptables 규칙을 추가하여 ip를 차단했으며 이제 사라졌습니다.
이제 다음을 참조하십시오.
sshd[17225]: fatal: Read from socket failed: Connection reset by peer [preauth]
항목은 무엇이며 위협을 보호하거나 동적으로 보려면 어떻게해야합니까?
나는 한 않습니다 fail2ban설치되어 있어야합니다.
미리 감사드립니다
답변
여러 위치에서이 호스트에 액세스해야합니까? 아니면 고정 IP가있는 점프 박스를 사용할 수 있습니까? 이 경우 특정 IP에 대한 SSH 액세스 만 허용하는 iptables 규칙을 설정할 수 있습니다. 이렇게하면 고정 IP를 제외한 모든 사람에게 암시 적으로 거부됩니다.
다른 권장 사항은 비표준 포트에서 수신 대기하고 루트 인증을 비활성화하고 fail2ban을 구성하도록 서비스를 변경하는 것입니다.
답변
sshd 포트를 1000 이상으로 변경하십시오. Fail2ban도 도움이됩니다.
예를 들어 1919 또는 905에서 sshd를 실행하는 일부 서버가 있으며이 중국 IP가 내 서버를 무차별하게하려고합니다.