私は最近小さなUbuntuボックスへのSSHアクセスを確立しており、現在ローカルネットワークとオフサイトの両方でボックスにログインできます。
現在リモートで接続されているユーザーは2人だけですが、/var/logs/auth.logを確認すると、次のようにログインしようとするランダムなユーザー名/ポートの組み合わせが多く見えます。
Failed password for invalid user buildbot from xxx.92.16.81 port 11934 ssh2
Received disconnect from xxx.92.16.81 port 11934:11: Bye Bye [preauth]
Disconnected from invalid user buildbot xxx.92.16.81 port 11934 [preauth]
Invalid user aimax from xxx.92.16.81 port 24768
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.92.16.81
sshd_configの許可されたユーザーセクションには2人のユーザーしかないので、これは非常に脅威であるとは思わないが、私の過酷なサーバーがこれらの何百ものユーザーを処理している間に人々が実際にログインしようとしているのを見るのは少し残念です。人々は毎日緊張しています。
特定のポート22で許可されたユーザーに不適切なSSH要求を無視または削除させる方法(ルーター/ファイアウォールまたはサーバー自体(おそらくIPテーブル?)を介して)がありますか?
通常、自宅にいなくてもログインできますが、SSHをできるだけ安全に保つためにどのような措置を講じる必要がありますか?
編集:思ったようにSSHD_configを設定せず、AllowedUsersを更新しました。ひどいです。
ベストアンサー1
ポート番号は、宛先ポート(22)ではなく送信元ポートです。
SSHサーバーを保護するには、パスワードベースの認証を無効にする必要があります。鍵ベースの認証のみを使用し、鍵が十分に長く安全に保管されていることを確認してください(秘密鍵を共有したり公開したりしないでください)。
IPアドレスなどの情報のみを許可するファイアウォール関連技術は、攻撃率(サーバー負荷の減少)だけを減らすことができます。ただし、デフォルトのファイアウォールがあることを確認する必要があります(おそらくIPアドレスを制限すると使用するのがより困難になる可能性があります。私のデバイスの一部はローカルアクセスに制限されています)。 gufw(ufw用のグラフィックフロントエンド。年に数回だけ使用するコマンドについては、コマンドラインを学ぶ必要はありません)を使用してください。