Est-ce une attaque par force brute
Cela ressemble à l'analyse en arrière-plan que tout serveur sur Internet subira.
Devrais-je m'inquiéter
Pas vraiment, l'analyse en arrière-plan est tout à fait normale, tant que vos mots de passe sont sécurisés, l'analyse en arrière-plan ne devrait présenter aucun risque.
Quelles sont les meilleures mesures d'atténuation
Vous pouvez utiliser les éléments suivants pour rendre le serveur plus sécurisé :
- Autoriser uniquement la connexion à l'aide de l'authentification par clé
- Désactiver l'accès root ssh
- Utilisez un système comme Fail2Ban pour bloquer les tentatives de force brute
Dois-je changer d'adresse IP
La modification des adresses IP n'affectera probablement pas beaucoup l'analyse automatisée en arrière-plan
Comme les commentaires précédents l'ont déjà souligné, le changement d'adresse IP ne sera PAS vous empêcher d'être analysé par des scanners malveillants.
Je vais résumer les étapes nécessaires pour vraiment sécurisez votre service SSH :
- comme les gens l'ont mentionné auparavant :changez le port en une valeur non standard (highport), par ex. une valeur comme 13322. Ce n'est pas un réel avantage en matière de sécurité, mais il est plus difficile pour tout bot de trouver le port SSH actif.
- Utilisez UNIQUEMENT des clés sécurisées pour l'authentification, si possible, désactivez complètement l'authentification au clavier avec des mots de passe !!
- Utilisez le service fail2ban, qui est disponible pour tout système de type Unix / dérivé de Linux. Ce service bannira automatiquement une adresse IP spécifique après n tentatives d'authentification infructueuses pendant une durée définie. L'interdiction est réalisée via les règles iptables, donc iptables est une exigence.