Hvis du som jeg har en hjemmeserver med SSH adgang, vil du opleve at vilkårlige IP’er forsøger at få adgang til din server – Tit og ofte er det kinesiske IP’er som bruger brute force metoden til at få adgang.
Brute force betyder at de har en lang liste med brugernavne og password som en bot smider efter din server i håb om at det virker.
Dette kan bruge ressourcer og i værste tilfælde kan de få adgang.
Det gider vi ikke.
Bloker IP på Debian server
Først skal du checke dine logs.
sudo nano /var/log/auth.log
Her vil alle forsøg være listet. Nedenfor er der et eksempel på en IP som forsøgte at få adgang til min server.
Feb 8 06:55:45 mediaserver sshd[5906]: Failed password for root from 183.3.202.113 port 30098 ssh2 Feb 8 06:55:47 mediaserver sshd[5906]: Failed password for root from 183.3.202.113 port 30098 ssh2 Feb 8 06:55:51 mediaserver sshd[5906]: Failed password for root from 183.3.202.113 port 30098 ssh2 Feb 8 06:55:52 mediaserver sshd[5906]: Received disconnect from 183.3.202.113: 11: [preauth] Feb 8 06:55:52 mediaserver sshd[5906]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.113 user=root Feb 8 06:55:56 mediaserver sshd[5926]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.113 user=root
Hvis vi checker IP’en, ser vi at den er kinesisk.
Vi kan blokere IP’en fuldstændigt fra serveren hvilket vil sige at de ikke engang får prompt om user/pass når de forsøger at tilslutte sig. Dette gøres ved at skrive følgende i commandline.
iptables -A INPUT -s x.x.x.x -j DROP
Her udskifter du selvfølgelig x.x.x.x med den egentlige IP addresse.
Det er også en god idé at installere Fail2Ban på din server hvilket automatisk blokerer IP addresser som skriver user/pass forkert 5 gange.
Stay safe!