Alors, je profite opportunément de la présence potentielle de connaisseurs dans le fonctionnement réseau et authentification pour poser une question : j'ai un RPI à la maison sur lequel je me connecte en ssh à distance sur un port quelconque (genre 10044) ouvert sur ma freebox, qui dispose d'une IP fixe.
Sur la freebox, j'ai une redirection du 10044 sur le port 22 de mon RPI.
Alors déjà j'ai énormément de connexions frauduleuses. Depuis 5 jours j'ai 4253 failed et 876 adresses ip bannies.
Ensuite, je ne comprends pas ce genre d'erreurs :
Dec 5 18:34:37 rpi sshd[17110]: Failed password for invalid user root from 200.32.52.150 port 55588 ssh2
Dec 5 18:34:38 rpi sshd[17110]: Connection closed by invalid user root 200.32.52.150 port 55588 [preauth]
Dec 5 18:37:37 rpi sshd[17122]: Invalid user wby from 202.175.97.194 port 46054
Dec 5 18:37:37 rpi sshd[17122]: pam_unix(sshd:auth): check pass; user unknown
Dec 5 18:37:37 rpi sshd[17122]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.175.97.194
Dec 5 18:37:39 rpi sshd[17122]: Failed password for invalid user wby from 202.175.97.194 port 46054 ssh2
Dec 5 18:37:40 rpi sshd[17122]: Connection closed by invalid user wby 202.175.97.194 port 46054 [preauth]
Dec 5 18:45:35 rpi sshd[17176]: Invalid user yangdonghai from 117.172.55.244 port 43862
Dec 5 18:45:36 rpi sshd[17176]: pam_unix(sshd:auth): check pass; user unknown
Dec 5 18:45:36 rpi sshd[17176]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.172.55.244
Dec 5 18:45:38 rpi sshd[17176]: Failed password for invalid user yangdonghai from 117.172.55.244 port 43862 ssh2
Dec 5 18:45:40 rpi sshd[17176]: Connection closed by invalid user yangdonghai 117.172.55.244 port 43862 [preauth]
Bien évidemment les ports sur lesquels il y a des tentatives de connexion ne sont pas ouverts.
Ici, il y a des utilisateurs qui de toute façon n'existent pas mais je'ai aussi beaucoup de tentatives de connexion en root.
Question : Comment puis-je avoir des tentatives de connexion sur un port non ouvert au niveau de ma freebox ?
Est-ce que sshguard me donerait une meilleure protection ?
Merci pour vos lumières !
# Question d'un profane
Posté par Ant . En réponse à la dépêche reaction, remplaçant de fail2ban. Évalué à 1.
Alors, je profite opportunément de la présence potentielle de connaisseurs dans le fonctionnement réseau et authentification pour poser une question : j'ai un RPI à la maison sur lequel je me connecte en ssh à distance sur un port quelconque (genre 10044) ouvert sur ma freebox, qui dispose d'une IP fixe.
Sur la freebox, j'ai une redirection du 10044 sur le port 22 de mon RPI.
Alors déjà j'ai énormément de connexions frauduleuses. Depuis 5 jours j'ai 4253 failed et 876 adresses ip bannies.
Ensuite, je ne comprends pas ce genre d'erreurs :
Bien évidemment les ports sur lesquels il y a des tentatives de connexion ne sont pas ouverts.
Ici, il y a des utilisateurs qui de toute façon n'existent pas mais je'ai aussi beaucoup de tentatives de connexion en root.
Question : Comment puis-je avoir des tentatives de connexion sur un port non ouvert au niveau de ma freebox ?
Est-ce que sshguard me donerait une meilleure protection ?
Merci pour vos lumières !