Tentativi di accesso illegale via ssh
Sono purtoppo frequenti, nel file /var/log/auth.log, registrazioni del tipo
ripetute innumerevoli volte.
Si tratta chiaramente di programmi che tentano ripetutamente di autenticarsi via ssh, cambiando username e password (un sincero augurio di un cagotto fulminante a chi si diverte in questo modo a forzare i sistemi).
Come soluzione ho applicato le seguenti regole IPTABLES, che forzano ad un attesa di 60 secondi tra una connessione ssh e la successiva:
Sep 17 07:41:57 pippo sshd[12869]: Illegal user test9 from ::ffff:124.2.81.132
Sep 17 07:42:00 pippo sshd[12871]: Illegal user test10 from ::ffff:124.2.81.132
Sep 17 07:42:06 pippo sshd[12873]: Illegal user admin1 from ::ffff:124.2.81.132
ripetute innumerevoli volte.
Si tratta chiaramente di programmi che tentano ripetutamente di autenticarsi via ssh, cambiando username e password (un sincero augurio di un cagotto fulminante a chi si diverte in questo modo a forzare i sistemi).
Come soluzione ho applicato le seguenti regole IPTABLES, che forzano ad un attesa di 60 secondi tra una connessione ssh e la successiva:
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 60 -j DROP
iptables -A INPUT -p tcp --dport ssh --tcp-flags syn,ack,rst syn -m recent --set -j ACCEPT
Comments