サーバーへの悪意のある接続試行を効率的に処理しますか？（/var/log/auth.logに「xxポートxx [preauth]で接続が終了しました」としてログインしています）？

2024-06-27 • tag-icon

ssh security logs sshd authentication

サーバーへの悪意のある接続試行を効率的に処理しますか？（/var/log/auth.logに「xxポートxx [preauth]で接続が終了しました」としてログインしています）？

サーバーに接続しようとする悪意のある試みを効率的に処理する方法があるかどうかを知りたいです。前述のように、/var/log/auth.logログインしているように見えるようにしてくださいConnection closed by IPaddress port XXX [preauth]。

追加情報`sshd_config`:

パスワードログインが無効
MaxAuthTries 3
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
DenyUsers pi admin ubuntu

質問の最初の部分は次のとおりです。これらの試みをブロックする必要がありますか？

およそ数秒ごとに一度試してみます。これらの試みは他のIPで起こります。（成功せずに複数回ログインしようとするIPを処理できます。）私の考えでは）、接続試行回数が多く、多少面倒な病気のようです。

1つの条件は、SSHを介してサーバーに接続するために特定のIPだけをホワイトリストに追加したくないことです。

今もし私ブロックする必要がありますこれらの試みにどのように対処するかについていくつかの提案を聞きたいです（Fail2banを除外してください）。

とても感謝しています！

ベストアンサー1

公開鍵認証のみに制限しても大丈夫でしょう。（これはまたオンにする必要があることを意味しますChallengeResponseAuthentication。）追加のセキュリティのためにオフにnoすることもできます。PermitRootLogin

私が運営しているサーバーは常に検査をしていますが、私の鍵もなく、パスワード認証もオンになっておらず、物理的に接続が不可能なので心配しません。

必要に応じてFail2banのようなものを使用できますが、必須ではありません。少しのログノイズを取ることができる場合は無視してください。明らかに興味のない問題当事者またはネットワーク（例えば、行ったことのない国の通信）が大きな問題である場合は、手動でファイアウォールに追加することもできます。

おすすめ記事